KR20120123558A - 보안 인프라스트럭처를 제공하는 방법, 시스템 및 장치 - Google Patents

보안 인프라스트럭처를 제공하는 방법, 시스템 및 장치 Download PDF

Info

Publication number
KR20120123558A
KR20120123558A KR1020127024140A KR20127024140A KR20120123558A KR 20120123558 A KR20120123558 A KR 20120123558A KR 1020127024140 A KR1020127024140 A KR 1020127024140A KR 20127024140 A KR20127024140 A KR 20127024140A KR 20120123558 A KR20120123558 A KR 20120123558A
Authority
KR
South Korea
Prior art keywords
network
secure
service
traffic
ipsec
Prior art date
Application number
KR1020127024140A
Other languages
English (en)
Other versions
KR101445468B1 (ko
Inventor
구루다스 소마더
조엘 알 캘리퍼
폴라 엔 발루스
세르지오 콜라
모하매드 파룩
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20120123558A publication Critical patent/KR20120123558A/ko
Application granted granted Critical
Publication of KR101445468B1 publication Critical patent/KR101445468B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5691Access to open networks; Ingress point selection, e.g. ISP selection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

방법 및 장치는 비보안 네트워크를 통해 IPSec 터널을 자동적으로 생성하는 것과 같이 비보안 네트워크 인프라스트럭처에 걸쳐 보안 네트워크 인프라스트럭처를 자동적으로 제공하고, 바운더리 장치에서 IPSec 터널을 종료시키며, IPSec 터널과 보안 네트워크 사이에서 트래픽을 브리지하도록 적절한 서비스를 생성한다. 다양한 실시예는 보안 네트워크 인프라스트럭처의 신속한 프로비저닝, 특정 고객 요건에 적응된 SEG(Secure Gateway) 실시예 및 다양한 비즈니스 방법을 제공한다.

Description

보안 인프라스트럭처를 제공하는 방법, 시스템 및 장치{METHOD, SYSTEM AND APPARATUS PROVIDING SECURE INFRASTRUCTURE}
관련 출원에 대한 교차 참조
본 출원은 발명의 명칭이 IPSEC 인프라스트럭처 프로비저닝, 그 관리 및 응용 장치 및 방법(METHOD, SYSTEM AND APPARATUS FOR IPSEC INFRASTRUCTURE PROVISIONING, MANAGEMENT AND APPLICATIONS THEREOF)이며 2010년 3월 16일자로 출원된 미국 특허 출원 제61/314,448호의 이익을 주장하며, 그 출원은 여기에 그 전체가 참조로서 통합된다.
본 발명의 분야
본 발명은 일반적으로 통신 네트워크에 관한 것으로서, 보다 구체적이지만 비한정적으로 비보안 전송 계층을 통해 보안 서비스를 프로비저닝(provisioning)하는 것에 관한 것이다.
4G(Fourth Generation) 무선 네트워크와 같은 다양한 네트워크는 하나 이상의 응용을 구동시키는 다수의 무선 가입자를 지원한다. 트래픽은 상이한 전송 기술, 적용된 QoS(quality-of-service) 정책 등을 이용하는 다수의 네트워크 요소에 따라 IP 네트워크를 통해 패킷화되어 전송된다. 그러한 네트워크는 본래 복잡하 며, 네트워크 서비스 제공자에게 새로운 도전을 제시하며 그 이동 가입자에게 고품질 서비스의 일관된 전송을 보증하기 위해 의존하는 네트워크 관리 툴을 제시한다.
그 위에 구축되는 전송 계층과 함께 IPSec 인프라스트럭처 계층과 같은 보안 인프라스트럭처 계층을 프로비저닝하며 모니터링하는 것은 복잡하며 에러가 발생하기 쉽다. 전송 네트워크는 다양한 고객 목표에 필요하다고 생각되는 대역폭을 지원하도록 초기에 프로비저닝된다. IPSec 인프라스트럭처는 이 때 보안 네트워킹이 요구됨에 따라 프로비저닝된 네트워크 위에 구축된다.
전송 네트워크 프로비저닝 프로세스 및 IPSec 인프라스트럭처 프로비저닝 프로세스는 서로 독립적이다. 이 독립성은 2개의 계층들 사이에서 비효율 및 상호 인식의 결핍을 초래하며, 이 비효율 및 결핍은 고장 처리, 업데이트, 네트워크 관리 및 다른 기능 중에 문제를 야기시킨다. 예를 들어, IPSec 계층 아래의 전송 네트워크 요소 내의 임의의 고장은 최종 가입자 또는 최종 소비자의 VPRN(Virtual Private Remote Networking)을 저하시키는 것과 같이 IPSec 계층의 기능에 영향을 줄 것이다.
종래 기술에서의 다양한 결함은 비보안 네트워크 인프라스트럭처에 걸쳐 보안 네트워크 인프라스트럭처를 제공하기 위한 실시예에 의해 다루어진다. 다양한 실시예는 보안 네트워크 인프라스트럭처의 신속한 프로비저닝, 특정 고객 요건 및 다양한 영업 방법 등에 적응된 SEG(Secure Gateway) 실시예를 제공한다.
다양한 실시예는 비보안 네트워크를 통해 보안 네트워크에 액세스하는 사용자를 위한 액세스 포인트들 사이에서 보안 터널링을 지원하는데 필요한 L3(level 3) VPN(Virtual Private Networking) 서비스, VPRN(Virtual Private Routed Network) 서비스, IES(Internet Enhanced Service) 서비스 및/또는 다른 서비스와 같은 서비스를 가능하게 하는 기존의 비보안 네트워크 환경 내에 요소를 구성하도록 실시된다. 구성되었을 때, 보안 네트워크(예를 들어, 기업 네트워크)는 인터넷(예를 들어, 기업 또는 다른 보안 네트워크에 IPSec 접속)과 같은 비보안 네트워크를 통해 기업 네트워크에 액세스하는 사용자에 대하여 보호된다.
SEG(Secure Gateway) 실시예에 있어서, 바운더리 장치와 관련된 라우터는 보안 네트워크에 대한 보안 클라이언트로서 동작하는 한편 다양한 사용자는 라우터에 대한 보안 클라이언트로서 동작한다. 이와 같이, 사용자와 관련된 IPSec 트래픽은 보안 네트워크와 관련된 종료점에서라기보다는 오히려 보안 게이트웨이의 바운더리 장치에서 종료된다. 보안 네트워크 내에서 다수의 사용자 IPSec 터널의 종료를 회피함으로써, 네트워크의 보안성이 증대되고, 프로비저닝 복잡성이 감소되며, 기업 네트워크는 기존의 서비스 및 프로토콜(예를 들어, L2 VPN)를 유지할 수 있다.
본 발명의 교시는 첨부 도면과 함께 이하의 상세한 설명을 고려함으로써 쉽게 이해될 수 있다.
도 1은 일실시예에 따른 예시적인 아키텍처를 도시한다.
도 2는 도 1의 아키텍처의 라우터 내에서 바운더리 카드에 근접한 네트워크 프로토콜의 더 상세한 도면을 도시한다.
도 3은 도 2의 예시적인 관리 시스템에 의해 수행되는 서비스 생성 및 상관 프로세스를 예시하는 상위 레벨 블록도를 도시한다.
도 4는 대규모 비디오 서비스 아키텍처의 상위 레벨 블록도를 도시한다.
도 5는 다양한 실시예의 이용에 적당한 예시적인 관리 시스템을 도시한다.
도 6은 실시예에 따른 관리 시스템을 포함하는 예시적인 무선 통신 시스템을 도시한다.
도 7 내지 도 8은 다양한 실시예에 따른 관리 시스템에 의해 수행되는 발견 및 상관 프로세스를 예시하는 상위 레벨 블록도를 도시한다.
이해를 쉽게 하기 위해, 동일한 참조 번호는 가능하면 도면에 공통인 동일한 요소를 지시하는데 사용되고 있다.
본 발명은 특정 실시예의 맥락 내에서 주로 설명될 것이지만, 이 기술분야에 정통하며 교시에 의해 정보를 얻은 자는 여기서 본 발명이 다른 기술적 영역 및/또는 실시예에도 적용가능하다는 것을 이해할 것이다.
일반적으로 말하면, 다양한 실시예는 보안 네트워킹 서비스가 요구됨에 따라 그러한 서비스를 제공하도록 프로비저닝된 네트워크 전송 계층 상에 보안 인프라스트럭처 계층(예를 들어, IPSec 인프라스트럭처 계층)의 구축과 관련된 프로비저닝 및 모니터링을 가능하게 하고, 지원하며/하거나 개선한다.
다양한 실시예는 SSL(Secure Sockets Layer) VPN(Virtual Private Network), 동적 멀티포인트 VPN, 기회적 암호화 등의 맥락 내에도 적용가능하다. 또한, VOD(video on demand) 및 다른 텔레비전/방송 서비스 등을 제공하는 하나 이상의 비보안 코어 및/또는 액세스 네트워크를 통해 보안 기업 네트워크에 액세스하는 것과 같은 그러한 서비스로부터 이익을 얻는 다양한 실시예가 논의될 것이다.
다양한 실시예는 기존의 및 장래의 유선 및/또는 무선 IP 네트워크 또는 IP 타입 제어 프로토콜을 이용한 네트워크를 포함해서, IPSec 터널링과 같은 보안 네트워킹 기술을 지원하는 임의의 액세스 또는 코어 네트워크 환경의 이용에 적당하다. 예를 들어, LTE(long term evolution) 관련 환경(통상 eNodeB를 통해 액세스되는)에 관하여 여기서 설명되는 다양한 시스템, 장치, 방법, 기능, 프로그램, 토폴로지 등은 DSL(digital subscriber line), 케이블 모뎀 및 다른 기존의 및 장래의 액세스 기술을 통해 액세스되는 것과 같은 다른 환경에도 적용가능하다. 또한, 다른 다양한 LTE 구성요소는 MME, SGW, PCRF(DSC) 및/또는 PGW와 같은 본 발명에 따른 보안 터널을 이용할 수도 있다는 점이 발명자에 의해 고려된다. 일반적으로 말하면, LTE 네트워크 또는 다른 네트워크의 임의의 구성요소는 SEG(security gateway)를 통해 보안 터널을 갖는 것으로부터 이득을 얻을 수 있다. 비록 이 기능의 가장 일반적인 클라이언트가 되는 것은 eNodeB이라는 것이 사실이다.
다양한 실시예는 비보안 네트워크를 통해 보안 네트워크에 액세스하는 사용자를 위한 액세스 포인트들 사이에서 보안 터널링을 지원하는데 필요한 L3(level 3) VPN(Virtual Private Networking) 서비스, 2547bis와 같은 VPRN(Virtual Private Routed Network) 서비스, IES(Internet Enhanced Service) 서비스 및/또는 다른 서비스와 같은 서비스를 가능하게 하기 위한 기존의 비보안 네트워크 환경 내에서 요소를 구성하도록 실시된다. 구성되었을 때, 보안 네트워크(예를 들어, 기업 네트워크)는 인터넷(예를 들어, 기업 또는 다른 보안 네트워크에 IPSec 접속)과 같은 비보안 네트워크를 통해 기업 네트워크에 액세스하는 사용자에 대하여 보호된다.
SEG(Secure Gateway) 실시예에 있어서, 바운더리 장치와 관련된 라우터는 보안 네트워크에 대한 보안 클라이언트로서 동작하는 한편 다양한 사용자는 라우터에 대한 보안 클라이언트로서 동작한다. 이와 같이, 사용자와 관련된 IPSec 트래픽은 보안 네트워크와 관련된 종료점에서라기보다는 오히려 보안 게이트웨이의 바운더리 장치에서 종료된다. 보안 네트워크 내에서 다수의 사용자 IPSec 터널의 종료를 회피함으로써, 네트워크의 보안성이 증대되고, 프로비저닝 복잡성이 감소되며, 기업 네트워크가 기존의 서비스 및 프로토콜(예를 들어, L2 VPN)을 유지할 수 있다.
보안 인프라스트럭처 계층의 제공
일반적으로 말하면, 다양한 실시예는 하나 이상의 비보안 코어 및/또는 액세스 네트워크를 통해 보안 기업 네트워크에 액세스를 제공하는 것과 같이, 보안 네트워킹 서비스가 요구됨에 따라 그러한 서비스를 제공하도록 프로비저닝된 네트워크 전송 계층 상에 IPSec 인프라스트럭처 계층과 같은 보안 인프라스트럭처 계층의 구축과 관련된 프로비저닝 및 모니터링을 가능하게 하고, 지원하며/하거나 개선한다.
여기서 설명되는 다양한 실시예는 기존의 및 장래의 유선 및/또는 무선 IP 네트워크 또는 IP 타입 제어 프로토콜을 이용한 네트워크를 포함해서, IPSec 터널링과 같은 보안 네트워킹 기술을 지원하는 임의의 액세스 또는 코어 네트워크 환경의 이용에 적당하다. 예를 들어, LTE(long term evolution) 관련 환경(eNodeB를 통해 액세스되는)에 관하여 여기서 설명되는 다양한 시스템, 장치, 방법, 기능, 프로그램, 토폴로지 등은 DSL(digital subscriber line), 케이블 모뎀 및 다른 기존의 및 장래의 액세스 기술을 통해 액세스되는 것과 같은 다른 환경에도 적용가능하다.
다양한 실시예는 비보안 네트워크를 통해 보안 네트워크에 액세스하는 사용자를 위한 액세스 포인트들 사이에서 보안 터널링을 지원하는데 필요한 L3(level 3) VPN(Virtual Private Networking) 서비스, VPRN(Virtual Private Routed Network) 서비스, IES(Internet Enhanced Service) 서비스 및/또는 다른 서비스와 같은 서비스를 가능하게 하기 위한 기존의 비보안 네트워크 환경 내에서 요소를 구성하도록 실시된다. 구성되었을 때, 보안 네트워크(예를 들어, 기업 네트워크)는 인터넷(예를 들어, 기업 또는 다른 보안 네트워크에 IPSec 접속)과 같은 비보안 네트워크를 통해 기업 네트워크에 액세스하는 사용자에 대하여 보호된다.
SEG(Secure Gateway) 실시예에 있어서, 바운더리 장치와 관련된 라우터는 보안 네트워크에 대한 보안 클라이언트로서 동작하는 한편 다양한 사용자는 라우터에 대한 보안 클라이언트로서 동작한다. 이러한 방식과 같이, 사용자와 관련된 IPSec 트래픽은 보안 네트워크와 관련된 종료점에서라기보다는 오히려 보안 게이트웨이의 바운더리 장치에서 종료된다. 보안 네트워크 내에서 다수의 사용자 IPSec 터널의 종료를 회피함으로써, 네트워크의 보안성이 증대되고, 프로비저닝 복잡성이 감소되며, 기업 네트워크가 기존의 서비스 및 프로토콜(예를 들어, L2 VPN)을 유지할 수 있다.
도 1은 일실시예에 따른 간략화된 아키텍처를 도시한다. 구체적으로, 도 1의 간략화된 아키텍처(100)는 2명의 사용자가 비보안 네트워크에 의하여 각각의 보안 경로를 통해 서로 통신하는 대규모 네트워크(도시되지 않은)의 일부를 나타내며, 각각의 보안 경로는 비보안 네트워크의 액세스 포인트에서 개시되며 사용자에 접속함으로써 사용자들 사이에 보안 경로를 형성하도록 동작하는 보안 기업 네트워크에서 종료된다.
도 1을 참조하면, 제 1 사용자(1101)는 각각의 액세스 장치(1201)를 통해 제 1 비보안 네트워크(1301)에 액세스하며, 제 2 사용자(1102)는 각각의 액세스 장치(1202)를 통해 제 2 비보안 네트워크(1302)에 액세스한다. 트래픽은 제 1 비보안 네트워크(1301) 내의 하나 이상의 링크/경로에 의해 제 1 액세스 장치(1201)와 제 1 라우팅 장치(1401) 사이에서, 그리고 제 2 비보안 네트워크(8302) 내의 하나 이상의 링크/경로에 의해 제 2 사용자(1102)와 제 2 라우팅 장치(1402) 사이에서 전송된다.
사용자 장치(110)에 의해 액세스될 비보안 네트워크(130)의 타입에 따라, 대응하는 액세스 장치(120)는 DSL(digital subscriber line), 케이블 모뎀, eNodeB 또는 다른 액세스 장치 또는 집합점을 포함할 수 있다.
라우팅 장치(140) 각각은 비보안 네트워크(130)로부터 트래픽을 종결시키고, 보안 네트워크(140)로부터 트래픽을 종결시키며, 비보안 네트워크(130)와 보안 네트워크(140) 사이에서 종료된 트래픽을 적절히 브리징하기 위한 바운더리 장치(142) 또는 유사한 종료/브리징 메커니즘을 포함하거나 이들과 관련된다.
라우팅 장치(140)는 여기서 설명되는 라우팅, 브리징 및/또는 다른 기능을 제공할 수 있는 임의의 라우터 또는 스위칭 장치 또는 그 조합을 포함할 수 있다. 일실시예에 있어서, 라우팅 장치(140)는 IPSec 바운더리 카드(142)를 설치한 Alcatel-Lucent 7750 서비스 라우터를 포함한다.
따라서, 일실시예에 있어서, 사용자 장치 각각은 각각의 액세스 장치(120)와 예를 들어 각각의 라우터 내의 각각의 IPSec 바운더리 카드의 비보안 측 사이에서 링크를 통해 통신한다. IPSec 바운더리 카드의 보안 네트워크 측은 보안 기업 네트워크를 통해 서로 통신한다.
보안 네트워크 내에서 이동하는 패킷은 그것을 통해서 이동하기 위해 IPSec 터널링을 필요로 하지 않는다. 일반적으로 말하면, 보안 기업 네트워크는 기업 네트워크 내의 그러한 트래픽의 다른 암호화가 불필요하도록(실제로, 암호화가 암호화 패킷을 판독불가능하게 할 수 있도록) 트래픽을 전송하기 위한 L3 VPN 또는 다른 보안 인프라스트럭처를 이용한다.
비보안 네트워크를 통해 이동하는 패킷은 다양한 전송 계층 하드웨어, 소프트웨어, 프로토콜 등에 의해 지원되는 IPSec 세션(암호화된)을 통해 전달된다.
바운더리 장치(142)는 L3 VPN, VPRN 등을 이용하는 비보안 네트워크를 통해 보안(암호화된) 서비스를 생성/종료하는데 이용된다. 즉, 보안 IPSec 세션은 사용자 장치(각각의 자체 IP 어드레스를 갖는)와 바운더리 장치(또한 각각의 자체 IP 어드레스를 갖는) 사이에서 생성된다. 이와 같이, 바운더리 장치는 비보안 네트워크를 통해 제공되는 보안(암호화된) 서비스로부터의 패킷을 예시적으로 보안 기업 네트워크 내의 사용자 또는 보안 기업 네트워크 외의 사용자(예를 들어, 도 1의 제 2 사용자)에게 전파하는 보안 기업 네트워크에 전달한다.
선택적으로, 바운더리 장치는 보안 IPSec 세션을 위한 IES(Internet Enhanced Service)도 지원한다. 바운더리 장치(142)는 도 2와 관련하여 더 상세히 설명될 것이다.
또한, 도 1은 비보안 네트워크(130)를 관리하기 위한 관리 기능을 제공하는 MS(management system)(170)를 도시한다. MS(170)는 어떤 적당한 방식으로 비보안 네트워크(130)와 통신할 수 있다. 도 1의 MS(170)로서의 이용에 적당한 예시적인 관리 시스템은 이하에 도시되며 도 5와 관련하여 설명된다.
도 1에서, 파선은 암호화 IPSec 세션의 경로를 나타낸다. 제 1 및 제 2 사용자 둘 다는 각각의 라우팅 장치(140)에서 종료되는 각각의 암호화 IPSec 세션과 관련되는 것이 주목된다. 바운더리 장치는 패킷이 다르게 불명료해질 수 있으므로 보안 네트워크에 패킷을 통과시키기 전에 패킷으로부터 암호화를 선택적으로 해제한다.
도 1은 단지 2개의 사용자를 도시할지라도, 2명 이상의 사용자가 서로 통신할 수 있으며 각 사용자가 1명 이상의 다른 사용자와 통신할 수 있다는 점이 이해될 것이다.
도 1이 각각의 액세스 장치(120)를 통해 각각의 비보안 네트워크(130)와 액세스하는 각 사용자(110)를 도시할지라도, 사용자는 실제로 각각의 또는 공통 액세스 장치에 의해 공통 비보안 네트워크에 액세스하고 있을 수 있다. 더욱이, 사용자는 3G/4G/xG 네트워크 및 국부 802.11x 네트워크에 액세스하는 이동 장치 사용자 또는 핫 스폿과 같은 다수의 비보안 네트워크에 동시에 액세스할 수 있다.
도 1은 사용자(110)와 라우팅 장치(140) 사이에 단일 비보안 네트워크를 도시할지라도, 다양한 실시예에 있어서 사용자 트래픽은 액세스 네트워크 및 코어 네트워크와 같은 다수의 비보안 네트워크를 통해 전송될 것이다.
1명 또는 다수의 사용자는 예시적으로 SEG(Secure Gateway)로서 동작하는 하나 이상의 라우팅 장치(140)를 통해 보안 네트워크에 접속될 수 있는 것이 주목되어야 한다. 더욱이, 다양한 실시예에 있어서 라우팅 장치(140)의 하나 이상은 다수의 네트워크로부터 액세스가능할 수 있다. 예를 들어, 다양한 실시예에 있어서 도 1에 관하여 여기서 도시되는 비보안 네트워크(130) 둘 다는 라우팅 장치(140) 둘 다에 액세스할 수 있다. 특정 비보안 네트워크(130)는 비용 고려에 기초하여 특정 라우팅 장치(140)를 선호하는 경우가 있을 수 있지만, 다수의 라우팅 장치(140)에 액세스하는 능력은 다양한 실시예의 맥락 내에서 중복성 및/또는 회복성을 제공한다.
다양한 실시예에 있어서, Alcatel-Lucent VSM(versatile service 모듈)은 서비스의 교차 접속을 허용하는데 이용된다.
상술한 실시예는 보안 네트워크(140)에 대한 보안 게이트웨이로서 동작하는 라우팅 장치에 의해 지원된다. 예를 들어, 바운더리 장치를 포함하는 라우터(예를 들어, 다수의 바운더리 카드, 스위칭 모듈 등을 갖는 7750 라우터)는 서비스 제공자 네트워크 내에 설치될 때, 여기서 설명되는 다양한 보안 전송 및 관리 기능을 제공 및/또는 지원하는 보안 게이트웨이로서 구성될 수 있다.
도 2는 일실시예에 따른 예시적인 SEG(security gateway)를 도시한다. 구체적으로, 도 2는 I/O 인터페이스(210)로서 표시되는 제 1 복수의 입력/출력 인터페이스, 스위칭 패브릭(220), 바운더리 장치(230) 및 제 2 복수의 I/O 인터페이스(240)를 포함하는 보안 게이트웨이(200)를 도시한다.
다양한 실시예에 따라 프로비저닝될 때, SEG(security gateway)(200)는 여기서 논의되는 다양한 실시예의 맥락 내에서 종료, 라우팅 및 브리징 기능을 제공한다. 즉, 암호화 사용자 트래픽은 바운더리 장치(230)의 제 1 부분(230A)에서 종료되는 IPSec 터널을 통해 보안 게이트웨이(200)로/로부터 비보안 네트워크(130)에 의하여 전송된다. 비암호화 사용자 트래픽은 보안 게이트웨이(200)로/로부터 보안 네트워크(150)에 의하여 전송되며 바운더리 장치(230)의 제 2 부분(230B)에서 종료된다.
도 2의 실시예에 있어서, 바운더리 장치(230)의 제 1 및 제 2 부분은 각각의 제 1 (230A) 및 제 2 (230B) 바운더리 카드를 포함한다. 다른 실시예에 있어서, 단일 바운더리 카드가 이용된다. 다른 실시예에 있어서, 또 다른 바운더리 장치 메커니즘이 이용된다.
예를 들어, 도 2는 예시적으로 HA 및 로브 밸런싱 모드에서 배치되는 2개의 바운더리 카드의 이용을 도시할지라도, 다소의 바운더리 카드는 다양한 실시예의 맥락 내에서 이용될 수 있다. 구체적으로, 단일 바운더리 카드는 보안 네트워크 서비스에 비보안 네트워크 서비스를 접속할 수 있다. 예를 들어, 진입 및 진출 IPsec 인터페이스 둘 다는 다양한 실시예에 있어서 이 IPsec 인터페이스가 IPSec 서비스를 지원하기 위해 요구된 기능을 단지 제공하는 가상 인터페이스이므로 동일한 바운더리 장치 또는 바운더리 카드 상에 있을 수 있다.
제 1 복수의 입력/출력 인터페이스는 I/O 인터페이스(2101, 2102, 2103 등 내지 21ON)로 표시되며, I/O 인터페이스 각각은 복수의 진입 포트, 진출 포트, 버퍼 등(도시되지 않은)을 포함한다. 암호화 사용자 트래픽은 예시적으로 스위칭 패브릭(220)의 제 1 부분(2201)을 통해 제 1 복수의 I/O 인터페이스(210)와 바운더리 장치(230)의 제 1 부분(230A) 사이에서 전달된다.
제 2 복수의 입력/출력 인터페이스는 I/O 인터페이스(2401, 2402, 2403 등 내지 240M)로 표시되며, I/O 인터페이스 각각은 복수의 진입 포트, 진출 포트, 버퍼 등(도시되지 않은)을 포함한다. 비암호화 사용자 트래픽은 예시적으로 스위칭 패브릭(220)의 제 2 부분(2202)을 통해 제 2 복수의 I/O 인터페이스(210)와 바운더리 장치(230)의 제 2 부분(230B) 사이에서 전달된다.
도 2의 실시예에 있어서, 스위칭 패브릭(220)은 바운더리 장치(230), 및 제 1 복수의 입력/출력 인터페이스(210)와 제 2 복수의 입력/출력 인터페이스(240) 각각 사이에서 트래픽을 스위칭하기 위한 제 1 및 제 2 부분을 포함하는 것으로서 표시된다. 스위칭 패브릭(220)은 개별 부분없이 구현되며 함께 생략될 수 있다. 예를 들어, 다양한 실시예에 있어서 매우 적은 수의 보안 네트워크(예를 들어, 특정 위치에서의 수 개의 기업 클라이언트)의 요구를 충족시키도록 SEG(200)가 배치될 수 있으므로 매우 적은 수의 제 2 복수의 입력/출력 인터페이스가 이용된다.
바운더리 장치(230)의 제 1 부분(230A)에서 종료되는 IPSec 터널을 통해 암호화 사용자 트래픽을 지원하기 위하여, 바운더리 장치는 이전에 언급된 바와 같이 L3 VPN, IES, VPRN 등과 같은 그러한 IPSec 터널링을 가능하게 하는 프로토콜을 지원하도록 구성되는 것이 필요하다.
도 3은 비보안 전송 인프라스트럭처에 걸쳐 보안 전송 인프라스트럭처를 자동적으로 프로비저닝하기 위한 방법의 흐름도를 도시한다. 도 3의 방법(300)은 고객(예를 들어, 서비스 제공자의 비보안 네트워크와 통신하는 보안 네트워크를 갖는 기업 고객)에게 보안 서비스를 제공하도록 서비스 요청 또는 요구의 다른 지시에 응답하여 트리거될 수 있다.
단계 310에서, 보안 네트워크는 보호를 위해 선택된다. 예를 들어, 도 1 및 도 2를 참조하면, 보안 네트워크(150)는 서비스 제공자의 기업 고객과 관련된 기업 네트워크를 포함할 수 있다. 이 경우에, 기업 고객은 1명 이상의 사용자가 비보안 네트워크를 통해 액세스하고 있는 기업 네트워크에 1명 이상의 사용자 보안 액세스를 제공하고자 한다. 보호될 보안 네트워크는 고객 서비스 요청, 운영 직원에 의해 직접 입력되는 서비스 요청 내의 프로파일 정보 등 내에 포함될 수 있다.
단계 320에서, SEG(Secure Gateway)가 선택된다. 예를 들어, 도 1 및 도 2를 참조하면, 기업 네트워크(150)에 근접하며 바운더리 장치(142)를 갖는 라우팅 장치(140)는 보안 게이트웨이(200)로서 프로비저닝하기 위해 선택될 수 있다. 박스(325)를 참조하면, 이용을 위해 선택된 특정 SEG는 복수의 이용가능한 IPSec 가능 게이트웨이 장치 중 하나를 포함할 수 있다. SEG는 이하의 기준 중 하나 이상에 따라 자동적으로 선택될 수 있다: 비용(예를 들어, 최단 경로 또는 다른 측정에 관한 최저 비용), 고객에 대한 근접성, 서비스 제공자에 대한 근접성, 이용 레벨(이용가능한 대역폭 또는 처리 자원) 및/또는 다른 기준. SEG(Secure Gateway)로서 이용될 특정 게이트웨이를 선택하기 위한 다양한 다른 메커니즘이 이용될 수도 있다. NOC 실시예에 있어서, 잠재적인 SG의 리스트는 선택을 원조하는 상술한 기준에 관한 운영자에게 시각적으로 제공될 수 있다.
단계 330에서, 하나 이상의 SG에서 하나 이상의 IPSec 카드 또는 그룹과 같은 하나 이상의 바운더리 장치는 보안 네트워크를 보호하는 동안의 이용을 위해 선택된다. 다수의 바운더리 장치는 중복성, 회복성을 제공하거나 큰 대역폭 트래픽을 다르게 취급하는데 이용될 수 있다.
단계 340에서, L3 VPN 서비스와 같은 보안 네트워킹 서비스는 선택된 바운더리 장치(예를 들어, IPSec 카드) 및 보안 네트워크를 접속하기 위해 선택, 생성 또는 다르게 제공된다. 선택된, 생성된 또는 다르게 제공된 서비스는 바운더리 카드(230)의 제 2 부분(230B)과 같은 보안 네트워크와 대향하는 바운더리 장치(130)의 부분과 관련된다. 예를 들어, 보안 네트워크(150)가 L3 VPN 이외의 어떤 것(예를 들어, L2 VPN)을 통해 선택된 게이트웨이 장치에 연결되면, 이 때 적절한 L3 VPN 서비스는 IPSec 기능/인프라스트럭처가 보안 네트워크(150)에 접속될 수 있도록 생성된다.
단계 350에서, IPSec 클라이언트와 같은 보안 클라이언트에 의해 이용되는 공중 IP 어드레스를 호스트하기 위한 IES, VPN 및/또는 VPRN 서비스와 같은 서비스가 선택, 생성 또는 다르게 제공된다. IES, VPN 및/또는 VPRN 서비스에 의해 호스트되는 공중 IP 어드레스는 IPSec 터널의 생성을 개시하도록 IPSec 클라이언트에 의해 이용된다. 선택된, 생성된 또는 다르게 제공된 서비스는 바운더리 카드(230)의 제 1 부분(230A)과 같은 비보안 네트워크에 대향하는 바운더리 장치(130)의 부분과 관련된다. 예를 들어, 사용자 장치(110)는 IPSec 터널을 종료하기 위한 이용에 어드레스를 필요로 할 것이며, 그 어드레스는 바운더리 카드의 제 1 부분과 관련된 IES, VPN 및/또는 VPRN 서비스에 의해 제공될 것이다.
단계 360에서, IPSec 인터페이스는 보안 네트워크가 적절한 터널을 통해 적절한 사용자로부터 공중 트래픽을 수신하며, 적절한 터널을 통해 적절한 사용자에게 트래픽을 전달하도록 단일 그룹 내에서 비보안 네트워크의 공중 트래픽 및 보호될 네트워크와 관련된 보안 트래픽을 쌍으로 하거나 관련시키기 위해 생성된다. 공중 트래픽은 비보안 네트워크와 대향하는 바운더리 장치의 부분에서 종료되는 IPSec 터널에 의해 전달되는 트래픽을 포함하는 한편 사설 트래픽은 보안 네트워크와 대향하는 바운더리 장치의 부분에서 종료되는 프래픽을 포함한다. 보안 네트워크와 관련된 트래픽을 전달하는 IPSec 터널링 경로는 보안 네트워크 트래픽 경로와 함께 그룹화된다.
단계 370에서, 각 서비스 쌍은 상이한 서비스 쌍(보호, 분배; 보안, 공중)과 관련되는 식별된 트래픽이 분리될 수 있도록 각각의 캡슐화 식별자와 관련된다. 이와 같이, 공중/사설 경로는 보안 네트워크의 적절한 또는 인가된 사용자에게 보안 공중 액세스를 제공하도록 바운더리 장치를 통해 브리징된다.
다양한 실시예에 있어서, 그룹은 IPsec 그룹의 맥락에서 생성되는 IPsec 인터페이스에 IPsec 기능을 제공하는 바운더리 카드를 번들(bundle)하도록 동작한다. 다양한 실시예에 있어서, 그룹 당 2개의 IPsec 인터페이스가 존재하는데, 하나는 공중이고 하나는 사설이다. 2개의 인터페이스에 관한 캡슐화는 하나의 공중 L3VPN 및 사설 L3VPN의 바인딩을 매치시켜야 한다. 이 캡슐화는 단일 IPsec 인터페이스 쌍에 수 개의 서비스 바인딩의 할당을 허용한다(예를 들어, 한쪽 네트워크 또는 사용자로부터 다른 쪽으로 분리하도록 포트에서 VLAN을 제공하는 것과 같음).
도 3의 방법(300)은 서비스 제공자의 회사 또는 다른 고객에 의해 소유된 보안 네트워크로의 액세스가 서비스 제공자에 의해 자동적으로 제공될 수 있는 프로비저닝 메커니즘을 제공한다. 동작 중에, 비보안 네트워크 내의 다수의 액세스 포인트는 보안 네트워크에 액세스하도록 인가될 수 있다. 이 액세스 포인트 각각은 보안 터널을 통해 임의의 SEG로 그리고 SEG로부터 트래픽을 전달할 것이다. 다양한 실시예에 있어서, 다수의 SG는 보안 네트워크를 보호하는데 이용될 수 있다. 이 실시예에 있어서, 다양한 액세스 포인트 각각은 특정 SEG와 관련될 것이며, 각 SEG는 다양한 액세스 포인트로부터 하나 이상의 터널을 종료시키는데 이용될 수 있다.
일부 실시예에 있어서, 특정 사용자와 관련된 특정 SEG는 사용자의 서비스 요구의 품질, 사용자와 관련된 서비스 레벨 일치, 사용자와 보안 네트워크 사이의 트래픽 타입, 사용자의 특정 액세스 장치 등에 따라 선택된다. 일부 라우터는 초고용량/대역폭 SEG 기능을 제공할 수 있는 한편 다른 라우터는 보안 네트워크를 보호하도록 단지 적당한 용량을 제공할 수 있다. 또한, 일부 실시예에 있어서 특정 바운더리 장치 능력, 대역폭 능력 등을 갖는 특수용 라우터는 여기서 논의되는 바와 같이 보안 인프라스트럭처의 신속한 인스턴스화 및 구조가 신속하게 제공될 수 있도록 서비스 제공자 고객의 보안 네트워크에 근접해서 배치되는 것이 생각된다.
다양한 실시예에 있어서, 단계 340, 360 및/또는 370은 특정 서비스의 존재, 이미 사용중인 캡술화 식별 또는 결합, 초과 용량을 갖는 바운더리 장치 또는 서브 장치(예를 들어, IPsec 모듈 또는 카드) 등과 같은 자원 가용성에 기초하여 자동적으로 호출된다. 이 단계는 보안 터널, 보안 터널과 보호된 네트워크 사이에서 트래픽이 흐르는 메커니즘 등을 생성 또는 프로비저닝하는데 운영자로부터의 특정 입력이 필요하지 않도록 여기서 설명되는 바와 같은 SAM(service aware manager)을 통해 자동화될 수 있다.
컨텐츠 제공자 실시예
일실시예에 있어서, 컨텐츠 제공자는 하루의 특정 시점에 보안 IPSec 경로를 통해 사용자에게 컨텐츠를 전송한다(예를 들어, 클라이언트 DVR 장치를 보급하는 Netflix). 사용자에게 컨텐츠를 공급하는 필요한 IPSec 경로를 지원하는 IPSec 인프라스트럭처는 가입자국이 변경됨에 따라 변경된다. 주기적으로 컨텐츠 제공자는 서비스 생성 엔진에 서비스 요청을 송신하며(네트워크 관리 시스템을 통해), 그 요청은 특정 지리적 영역에서 사용자에게 컨텐츠를 스트림하기 위한 추가적인 IPSec 경로에 대한 요청과 같은 요청된 서비스를 수용하도록 IPSec 인프라스트럭처를 적응시키는 서비스 생성 엔진이 된다.
텔레비전/비디오/ VOD ( video on demand ) 대규모 실시예
도 4는 원격 위치에 텔레비전, 비디오 및/또는 VOD 서비스를 전송하기 위한 시스템의 상위 레벨 블록도를 도시한다. 구체적으로, 도 4의 시스템(400)은 주요 컨텐츠 분배 회사(케이블 회사, 전기 통신 회사 등)에 의해 그렇지 않으면 지원되지 않는 비교적 작은 시장이 중간 또는 대규모 회사를 통해 그러한 서비스를 수신할 수 있는 메커니즘을 제공한다.
구체적으로, 복수의 케이블 액세스 이웃(neighborhood)(410) 각각은 다양한 지리적 영역에서 분산된다. 케이블 액세스 이웃(410) 각각은 각각의 복수의 사용자 장치(110)와 관련된다. 도 4를 참조하면, 제 1 케이블 액세스 이웃(4101)은 복수의 사용자 장치(1101, 1102 등 내지 110N)를 지원하는 것으로 도시된다. 사용자 장치(110)는 케이블 액세스 이웃(410) 내에서 장비를 통해 액세스를 획득할 수 있는 셋업 박스, 무선 네트워크 또는 어떤 다른 사용자 장치를 포함할 수 있다.
케이블 액세스 이웃(410) 각각은 네트워크(430)에 액세스를 제공하는 액세스 포인트(420)와 통신한다. 다양한 실시예에 있어서, 네트워크(430)는 임의의 타입의 물리적 계층(광, 전기, 마이크로웨이브 등)에 의해 전달되는 공중 IP 네트워크를 포함한다.
네트워크(430)는 바운더리 장치(442)를 포함하는 SEG(security gateway)(440)와 통신한다. SEG(440)는 텔레비전, 비디오 및/또는 VOD 서비스 제공자와 관련된 고가의 장비 내에 포함되는 보안 네트워크(450)와 통신한다. 예를 들어, 도 4는 보안 게이트웨이(440)가 보안 네트워크(150)를 통해 헤드 엔드(460)와 통신하는 것을 도시한다. 헤드 엔드(460)는 위성 텔레비전 송신 시스템(474) 및 지상 텔레비전 송신 시스템(480) 중 하나 또는 둘 다와 관련된 다운링크 메커니즘 등을 포함한다.
SEG(440)는 도 1 내지 도 3과 관하여 상술한 것과 유사한 방식으로 동작한다. 도 4과 관하여 도시된 대규모 비디오 서비스 아키텍처의 맥락 내에서, SEG(440)는 보안 네트워크(450)와 관련된 지출을 감소시키도록 헤드 엔드(460)와 지리적으로 근접해서 위치된다.
도 4의 대규모 비디오 아키텍처는 원격 대규모 케이블-텔레비전 구매자(예를 들어, 소도시 시스템 운영자)를 서비스하는 하나 이상의 스위치/라우터(예시적으로 서비스 라우터)에 보안 네트워크 통신을 제공함으로써 고가의 장비 설치(케이블 텔레비전 헤드 엔드 등과 같은)의 수를 감소시키도록 동작한다.
구체적으로, 케이블-텔레비전 헤드 엔드는 지상 텔레비전 송신기 및 위성 텔레비전 송신기 중 하나 또는 둘 다로부터 방송 비디오, 방송 텔레비전, 로컬 스토리지를 위한 비디오 프로그래밍 등을 수신한다.
헤드 엔드는 상술한 보안 기업 네트워크와 유사한 보안 네트워크를 통해 SEG(440)와 통신한다. 이 네트워크는 방화벽 및 다양한 다른 보안 구성요소를 포함한다. SEG(440)는 비용을 감소시키도록 헤드 엔드로부터 단거리에 예시적으로 위치된다.
SEG(440)는 소규모 도매업자 또는 심지어 사용자/가입자(110)와 같은 복수의(예시적으로 3개의) 케이블-텔레비전 엔드 포인트(410)와 통신한다. SEG(440), 액세스 포인트 및 케이블-텔레비전 엔드 포인트 사이의 거리는 매우 클 수 있으며, 하나 이상의 공중 네트워크 등을 횡단(traverse)할 수 있다. 일반적으로 말하면, SEG(440)와 케이블-텔레비전 엔드 포인트 사이에 비디오 서비스를 제공하도록 된 특정 전송 계층 인프라스트럭처는 공중/비보안일 수 있다.
컨텐츠 보안성을 보존하기 위해, IPSec 인프라스트럭처는 케이블-텔레비전 엔드 포인트를 지원하기 위한 하나 이상의 보안 IPSec 경로 또는 세션을 제공하도록 구성된다. 보안 IPSec 경로의 프로비저닝 및 모니터링은 상술한 바와 같은 네트워크 관리 소프트웨어/하드웨어에 의해 수행된다.
단일 형태 프로비저닝 실시예
다양한 실시예에 있어서, 서비스 제공자는 사용자 단말, 예시적으로 NOC(network operations center)에서 그래픽 사용자 인터페이스 내의 하나 이상의 윈도우와 상호 작용하는 운영자를 통해 고객을 위한 서비스를 프로비저닝한다. 그러한 서비스를 효율적으로 제공하기 위해, 일실시예는 보호될 보안 네트워크와 관련된 단지 최소량의 데이터(즉, 보안 네트워크의 식별)가 제공되는 단일 형태 엔트리를 예상한다. 다른 실시예는 보호될 보안 네트워크가 제공되는 고객 요청에 응답하여 그러한 서비스의 자동적인 프로비저닝을 예상한다.
따라서, 다양한 실시예는 그러한 시스템을 구성하는데 필요한 다수의 단계 각각과 관련된 다수의 구성 형태라기보다는 오히려 단일 구성 형태를 이용하여 IPSec 시스템을 구성하기 위한 능력을 제공한다. 이와 같이, 네트워크 운영 직원의 통상의 시간 소비적인 상호 작용이 회피되며, 각 상호 작용은 통상 데이터 엔트리를 위한 특정 형태(예를 들어, 네트워크 장비, 링크 등을 선택 및 프로비저닝하는 형태, 중복성 기능을 위한 그룹화를 제공하는 형태, 보안 서비스를 제공하는 형태, 암호화 키 정책을 구성하는 형태 등)와 관련된다.
일실시예에 있어서, NOC 사용자는 예시적으로 보안 IPSec 설정 형태가 제공되는 그래픽 사용자 인터페이스를 지원하는 컴퓨터 단말에서 다양한 실시예에 따른 방법을 호출한다. 이 형태는 원하는 보안 IPSec 기능과 관련된 다양한 기준을 입력으로서 수락한다.
첫번째로, 보안될 네트워크(예를 들어, 기업 네트워크, 인트라넷, 인터넷, 네트워크 단일 또는 다수의 전용 부분 등)에 관한 선택이 이루어진다.
두번째로, 원하는 보안 IPSec 기능을 지원하는데 이용되는 선택될 특정 엔트리 또는 액세스 포인트에 관한 선택이 이루어진다. 이 엔트리 포인트는 예시적으로 보안될 네트워크(예를 들어, 도 1의 보안 또는 기업 네트워크)와 액세스 또는 코어 네트워크(예를 들어, 도 1의 비보안 또는 서비스 제공자 네트워크 of 도 1) 사이에 브리지(예를 들어, 라우터)를 포함할 수 있다. 대안으로적, 디폴트 액세스 포인트가 이용될 수 있다.
원격 작업자의 맥락 내에서 그 보안 기업 네트워크를 이용하고자 하는 기업은 각 작업자에 대한 액세스 포인트, 또는 아마도 N명의 작업자 각각에 대한 액세스 포인트를 포함하는 서비스 요청을 제공할 수 있으며, 여기서 N은 1보다는 크지만 작업자의 전체 수보다 작은 정수이다. 모든 사용자가 동시에 원격 네트워크에 액세스하는 것이 필요하지 않으면, 각 원격 사용자를 위해 하나의 액세스 포인트를 제공하는 어떤 요구도 통상 존재하지 않는다.
다양한 액세스 포인트의 물리적 위치는 원격 사용자의 적당한 위치에 적응된다. 원격 사용자가 넓은 지리적 영역의 도처에 분산되는 하나의 물리적 위치에 모든 액세스 포인트를 할당하는 어떤 이득도 존재하지 않는다. 이 경우에, 지리적으로 먼 영역 내의 그 원격 사용자는 체감 품질을 확실히 감소시키며 비보안 공중 네트워크 상에 오버레이되는 보안 IPSec 인프라스트럭처를 통해 보안 회사 네트워크의 액세스의 비용을 증가시킬 수 있는 액세스 포인트만을 획득하기 위해 어쩔 수 없이 하나 이상의 액세스 네트워크를 이용할 것이다. 작업자를 지원하는 보안 IPSec 터널은 바운더리 카드에 작업자를 접속하는데 필요한 어떤 네트워크를 실행할 것이다.
세번째로, 브리징 메커니즘과 통신할 수 있는 공중 또는 사설 액세스 포인트 또는 액세스 포인트 타입과 같은 이용될 IPSec 프로비저닝 타입뿐만 아니라, 그러한 통신을 지원하는 프로토콜 등에 관한 선택이 이루어진다. 대안으로적, 디폴트 IPSec 프로비저닝이 이용될 수 있다.
보호를 위해 선택된 네트워크뿐만 아니라, 임의의 액세스 포인트, IPSec 프로비저닝 정보 또는 다른 정보도 이 때 IPSec 인프라스트럭처를 생성하기 위한 서비스 생성 엔진에 의해 처리된다. 생성된 IPSec 인프라스트럭처는 최적화되거나, 전체적으로 또는 부분적으로 유효화되거나, 구현 전에 다르게 상세화될 수 있다.
SCE ( service creation engine ) 실시예
일실시예는 다양한 프로파일 정보(예를 들어, 선택된 보안 네트워크, 네트워크 엔트피 포인트 및 IPSec 프로비저닝 타입)를 포함하는 서비스 요청에 응답하여 전체 IPSec 인프라스트럭처/서비스 계층을 생성하는 SCE(service creation engine)를 포함한다. 서비스 생성 엔진은 응용에 적응된 다양한 IPSec 터널 또는 동적 VPN 터널의 이용을 위해 구성된 이용가능한 교차 접속(공중/사설)을 검사하며, 다양한 프로비저닝 알고리즘 등을 호출한다.
서비스 생성 엔진은 어느 서비스가 보안되어야 하는지 및 클라이언트 또는 회사에 원하는 액세스를 제공하는데 어느 노드가 필요한지를 판단한다. 서비스 생성 엔진에 의해 생성되는 IPSec 인프라스트럭처/서비스 계층은 생성된 IPSec 계층의 하나 이상의 부분이 서비스 제공자에 의해 제어되는 네트워크 장비를 횡단할 때와 같이 분석을 위해 서비스 제공자에게 선택적으로 제공된다. 서비스 제공자는 생성된 IPSec 인프라스트럭처/서비스 계층을 만족시키는데 필요한 장비를 식별하기 위한 서비스 생성 엔진의 출력; 예컨대 필요한 장비, 암호화와 키 교환을 위한 알고리즘, 암호화 키 등을 추가, 스케일 또는 다르게 업데이트하기 위한 요청을 분석한다.
터널 템플릿(tunnel template)은 전송 패킷의 암호화/복호화를 가능하게 하는데 이용되는 다양한 신호 파라미터를 포함할 수 있다. 더욱이, 다양한 규칙/정책은 대응하는 특정 서비스에 특정 범위 내의 IP 어드레스를 할당함으로써, 특정 서비스에 그 IP 어드레스를 맵핑하는 것과 같은 트래픽 흐름을 관리하는데 이용된다. 더욱이, IPSec 터널의 부분적인 이용은 SEG(Service Gateway) 내의 대역폭 또는 스위칭 용량과 같은 다양한 서비스에 보존되는 용량을 관리하는데 사용될 수 있다.
다양한 실시예에 있어서, 고객은 설정될 보안 서비스와 관련된 다양한 프로파일 정보를 포함하는 네트워크 제공자에게 서비스 요청을 제공한다. 프로파일 정보는 실질적으로 상술한 바와 같으며, 보안되는 기업 서버의 식별, 보안 서비스에 대하여 이용될 액세스 포인트, 이용될 프로토콜, 이용되는 암호화 키 등을 포함할 수 있다.
이에 응해서, 서비스 생성 엔진은 서비스 요청을 만족시키는데 이용되는 보안 IPSec 인프라스트럭처를 자동적으로 생성하도록 서비스 요청을 처리한다. 생성된 보안 IPSec 인프라스트럭처의 기점은 생성된 인프라스트럭처와 관련되는 가정이 적절한지를 보증하도록 중간 서비스 제공자에 의해 다른 분석을 필요로 할 수 있다. 그것이 되지 않으면, 서비스 제공자는 생성된 보안 IPSec 인프라스트럭처의 부분이 작동가능하지 않은 제안(희망적으로) 또는 보다 적은 지시에 응답한다.
다양한 실시예에 있어서, SCE는 원하는 IPSec 서비스에 관한 파라미터(예를 들어, 프로파일)를 수신하며 기초적인 통신 채널(전송 계층)의 프로비저닝 및 프로비전 전송 계층 상에 적절한 IPSec 인프라스트럭처의 계층화를 반응하여 구현한다. 이 실시예는 네트워크를 규정하는 서비스 요청을 고객이 제공할 수 있는 자동화 또는 반자동화 시스템을 제공하며, 고객은 원격 (예를 들어, 보안 기업 네트워크 또는 인트라넷)에 액세스를 제공하고 그 액세스와 관련된 사용자의 수, 네트워크에 액세스하는 사용자를 위한 특정 액세스 포인트 등과 같은 다양한 파라미터를 제공하고자 한다. SCE는 수신된 파라미터에 응답하여 프로비저닝 계획을 제공하도록 자동 모드에서 이용될 수 있다.
SCE는 예를 들어 단일 형태 엔트리 스크린(대 다수의 스크린/현재 이용되는 형태)을 통해 네트워크 운영 센터 사용자 내의 상호 작용 모드에서 이용될 수 있다. 네트워크 관리자 소프트웨어는 IPSec 인프라스트럭처 가정이 다른(예를 들어, 제3자 소유) 네트워크 클라우드와 같은 다양한 파라미터에 적절한지 여부를 판단하도록 중간 네트워크 클라우드와 관련된 관리 소프트웨어와 상호 작용할 수 있다. 또한, 다른 순열이 생각된다. 다양한 실시예는 SCE 그 자체, NOC 사용자에 의해 이용되는 소프트웨어, 다른 네트워크 클라우드와 관련된 SEC, 사용자, 프로파일 및/또는 제3자 관리 소프트웨어 사이의 상호 작용을 포함하는 방법을 포함한다.
IPSec 인프라스트럭처 모니터링 실시예
보안 IPSec 인프라스트럭처의 생성/프로비저닝 후에, 다른 방법 실시예는 동작의 사전적 모니터링 모드에 진입한다. 이 실시예에 있어서, 각 경로와 관련된 다양한 네트워크 요소 및 링크는 예컨대 다양한 통신 또는 관리 시스템(예를 들어, LTE 시스템을 관리하는 Alcatel-Lucent에 의해 제조된 SAM(Service Aware Manager Lucent))의 맥락 내에서 알려져 있다.
여기서 논의되는 다양한 관리 기능은 개선된 네트워크 관리 능력이 제공될 수 있도록 각 경로 및/또는 IPSec 터널과 관련된 전송 계층 요소를 상관시키기 위한 실시예의 맥락 내에서 이용될 수 있다. 이와 같이, 특정 보안 IPSec 인프라스트럭처 경로와 관련된 서비스의 저하는 그 경로에 필요한 네트워크 요소 또는 링크가 저하되었는지를 식별하는데 이용될 수 있다. 마찬가지로, 특정 네트워크 요소 또는 링크와 관련된 서비스의 저하는 매우 저하된 네트워크 요소 또는 링크와 상관되는 보안 IPSec 인프라스트럭처 경로가 문제를 경험했었는지를 식별하는데 이용될 수 있다.
고장(액세스 포인트, 링크 또는 네트워크 요소에서와 같은)에 응답하여, 캡슐화 엔티티는 보안 IPSec 경로 및/또는 그 경로를 지원하는 전송 계층 요소 중 하나 이상에 고장을 자동적으로 상관시킨다. 캡슐화 엔티티 및 관리 기능, 스위치 또는 라우터는 바운더리 카드, SAM(service aware manager) 등을 포함한다. 게다가, 영향 분석은 다른 보안 IPSec 경로 및/또는 전송 계층 요소가 고장났거나 저하되었는지를 판단하기 위해 수행된다.
선택적으로, 네트워크 프로브 또는 테스트 벡터는 저하되거나 고장날 수 있는 특정 보안 IPSec 경로, 이동 서비스, 네트워크 요소, 링크 등을 식별하기 위해 실행된다. 이 테스트는 실시간으로 네트워크 성능을 측정하며 네트워크 저하가 문제 또는 고장을 크게 하기 전에 그러한 저하의 에러 조건 또는 다른 지시를 향상시킨다.
다양한 실시예에 있어서, 프로비저닝된 IPSec 인프라스트럭처는 잠재적인 서비스 저하 또는 고장을 나타내는 임의의 에러 조건 또는 다른 변칙이 검출되는지를 판단하기 위해 모니터링된다. 이 모니터링은 패시브 네이터(passive nature)일 수 있으며, 여기서 에러 조건, 알람 조건 등은 발생하자마자 네트워크 관리 시스템에 송신되고, 전기 관리 시스템은 적절한 정정 동작을 취한다. 이 모니터링은 액티브 네이처(active nature)일 수 있으며, 여기서 테스트 벡터 및/또는 다른 감사 메커니즘은 임박한 에러 조건을 식별하기 시도에서 전송 계층 요소를 테스트 또는 수행하는데 이용된다. 예를 들어, 증가된 대역폭 이용을 야기시키는 테스트 벡터는 대역폭 이용의 증가가 서비스를 저하시키는지 여부를 판단하기 위해 하나 이상의 보안 IPSec 경로를 지원하는 다양한 구성요소를 강조하는데 사용될 수 있다.
도 5는 다양한 실시예의 이용에 적당한 예시적인 관리 시스템을 도시한다. 도 5에 도시된 바와 같이, MS(500)는 프로세서(510), 메모리(520), 네트워크 인터페이스(530N), 및 사용자 인터페이스(530I)를 포함한다. 프로세서(510)는 메모리(520), 네트워크 인터페이스(530N), 및 사용자 인터페이스(530I) 각각에 연결된다.
프로세서(510)는 다양한 도면에 관하여 상술한 비보안 네트워크(130)와 같은 네트워크(130)를 위한 다양한 관리 기능을 제공하기 위해 메모리(520), 네트워크 인터페이스(530N), 사용자 인터페이스(530I), 및 지원 회로(540)와 협력하도록 적응된다.
메모리(520)는, 일반적으로 말하면, 네트워크(130)를 위한 다양한 관리 기능을 제공할 시에 이용하도록 된 데이터 및 툴을 저장한다. 메모리는 DE(Discovery Engine)(521), DD(Discovery Database)(522), CE(Correlation Engine)(523), PD(Path Database)(524), ANT(Analyzer Tool)(525), AUT(Audit Tool)(526), TT(Trace Tool)(527), SCE(service creation engine)(528) 및 SD(service database)(529)를 포함한다. 선택적으로, FMT(FairNEs Management Tool) 방법이 제공된다(도시되지 않음).
일실시예에 있어서, DE(521), CE(523), ANT(525), AUT(526), TT(527), SCE(528) 및 SD(529)는 여기서 도시 및 설명되는 다양한 관리 기능을 수행하기 위한 프로세서(예를 들어, 프로세서(510))에 의해 실행될 수 있는 소프트웨어 명령어를 이용하여 구현된다.
DD(Discovery Database)(522) 및 PD(Path Database)(524)는 다양한 것 및/또는 메모리(520)의 엔진 및 툴의 조합에 의해 생성 및 이용될 수 있는 데이터를 각각 저장한다. DD(522) 및 PD(524)는 단일 데이터베이스로 조합될 수 있거나 각각의 데이터베이스로서 구현될 수 있다. 조합된 또는 각각의 데이터베이스는 당업자에게 알려진 장치 중 어느 하나에서 단일 데이터베이스 또는 다수의 데이터베이스로서 구현될 수 있다.
엔진, 데이터베이스, 및 툴 각각이 메모리(120) 내에 저장되는 실시예에 관하여 도시 및 설명되었을지라도, 엔진, 데이터베이스, 및/또는 툴이 MS(500) 내부 및/또는 MS(500) 외부의 하나 이상의 다른 저장 장치에 저장될 수 있는 것을 당업자에 의해 인식될 것이다. 엔진, 데이터베이스, 및/또는 툴은 MS(500) 내부 및/또는 외부의 저장 장치의 어떤 적당한 수 및/또는 타입에 걸쳐서 분배될 수 있다. 메모리(520)의 엔진, 데이터베이스, 및 툴 각각을 포함하는 메모리(520)는 여기서 추가적으로 상세히 설명된다.
네트워크 인터페이스(530N)는 네트워크(130)와의 통신을 쉽게 하도록 적응된다. 예를 들어, 네트워크 인터페이스(530N)는 네트워크(130)로부터 정보(예를 들어, 네트워크의 토폴로지를 결정할 시에 이용하도록 된 발견 정보, 네트워크(130)에 대하여 MS(500)에 의해 개시되는 테스트의 결과 등뿐만 아니라, MS(500)에 의해 수행되는 관리 기능의 지원 시에 네트워크(130)로부터 MS(500)에 의해 수신될 수 있는 어떤 다른 정보)를 수신하도록 적응된다. 마찬가지로, 예를 들어 네트워크 인터페이스(530N)는 네트워크(130)에 정보(예를 들어, 네트워크의 토폴로지를 결정할 시에 이용하도록 된 정보를 발견하기 위한 발견 요청, 네트워크(130)의 부분을 검사하기 위한 검사 요청 등뿐만 아니라, MS(500)에 의해 수행되는 관리 기능의 지원 시에 네트워크(130)에 대하여 MS(500)에 의해 송신될 수 있는 어떤 다른 정보)를 송신하도록 적응된다.
사용자 인터페이스(530I)는 한명 이상의 사용자가 네트워크(130)에 대한 관리 기능을 수행가능하게 하기 위한 하나 이상의 사용자 워크스테이션(예시적으로, 사용자 워크스테이션(550))과의 통신을 쉽게 하도록 적응된다. 통신은 사용자 워크스테이션(550)(예를 들어, MS(500)에 의해 생성되는 심상을 제공하기 위한)으로의 통신 및 사용자 워크스테이션(550)(예를 들어, 사용자 워크스테이션(550)을 통해 제공된 정보와 사용자 상호 작용을 수신하기 위한)으로부터의 통신을 포함한다. MS(500)와 사용자 워크스테이션(550) 사이의 직접적인 접속으로서 주로 도시 및 설명되었을지라도, MS(500)와 사용자 워크스테이션(550) 사이의 접속은 사용자 워크스테이션(550)이 MS(500)에 근접해서 위치되거나(예를 들어, MS(500) 및 사용자 워크스테이션(550) 둘 다가 NOC(network operations center) 내에 위치되는 경우와 같음) MS(500)로부터 멀리 위치될 수 있도록(예를 들어, MS(500)와 사용자 워크스테이션(550) 사이의 통신이 장거리에 걸쳐 전송될 수 있는 경우와 같음) 어떤 적당한 기초적인 통신 능력을 이용하여 제공될 수 있다는 점이 이해될 것이다.
하나의 사용자 워크스테이션에 관하여 여기서 주로 도시 및 설명되었을지라도, MS(500)는 임의의 수의 사용자가 네트워크(130)에 대한 관리 기능을 수행할 수 있도록 (예를 들어, NOC에서의 기술자 팀이 네트워크(130)에 대한 다양한 관리 기능을 수행하기 위한 각각의 사용자 워크스테이션을 통해 MS(500)와 액세스하는 경우와 같음) 어떤 적당한 수의 사용자 워크스테이션과 통신할 수 있다는 점이 이해될 것이다. 사용자 워크스테이션에 관하여 도시 및 설명되었을지라도, 사용자 인터페이스(530I)는 MS(500)를 통해 네트워크(130)를 관리하는 이용에 적당한 어떤 다른 장치와의 통신을 지원하도록(예를 들어, 하나 이상의 공통 NOC 디스플레이 스크린 상에 MS(500)에 의해 생성되는 심상을 디스플레이하도록, 원격 컴퓨터를 통해 사용자에 의하여 MS(500)에 원격 VPN(Virtual Private Network) 액세스를 가능하게 하도록 등뿐만 아니라, 그 다양한 조합도) 적응될 수 있다는 점이 이해될 것이다. 관리 시스템과의 상호 작용을 통해 관리 기능을 수행하는 사용자 워크스테이션의 이용은 당업자에 의해 이해될 것이다.
여기서 설명되는 바와 같이, 메모리(520)는 DE(Discovery Engine)(521), DD(Discovery Database)(522), CE(Correlation Engine)(523), PD(Path Database)(524), ANT(Analyzer Tool)(525), AUT(Audit Tool)(526), TT(Trace Tool)(527), SCE(service creation engine)(528), SP(service database)(529), 및 선택적으로 FMT(FairNEs Management Tool) 방법(도시되지 않은)을 포함한다. DE(521), DD(522), CE(523), PD(524), ANT(525), AUT(526), TT(527), 및 FMT(528)는 여기서 도시 및 설명된 다양한 관리 기능을 제공하도록 협력한다. 메모리(520)의 엔진, 데이터베이스, 및/또는 툴 중 특정한 것에 의해 및/또는 특정한 것을 사용하여 수행되는 특정 기능에 관하여 여기서 주로 도시 및 설명되었을지라도, 여기서 도시 및 설명된 관리 기능 중 어느 하나는 메모리(520)의 엔진, 데이터베이스, 및/또는 툴 중 어느 하나 이상에 의해 및/또는 어느 하나 이상을 이용하여 수행될 수 있다는 점이 이해될 것이다.
엔진 및 툴은 어떤 적당한 방식으로 활성화될 수 있다. 일실시예에 있어서, 예를 들어 엔진 및 툴은 사용자 워크스테이션을 통해 사용자에 의하여 개시되는 수동 요청에 응답하여, MS(500)에 의해 개시되는 자동화 요청 등에 응답하여뿐만 아니라, 그 다양한 조합도 활성화될 수 있다.
예를 들어, 엔진 또는 툴이 자동적으로 활성화될지라도, 엔진 또는 툴은 스케쥴링된 요청에 응답하여, MS(500)에서 수행되는 처리에 기초하여 MS(500)에 의해 개시되는 요청(예를 들어, CE(523)에 의해 생성되는 결과는 ANT(525)가 호출되어야 하는 것을 나타내는 경우와 같음, ANT(525)에 의해 수행되는 감사의 결과는 TT(527)가 호출되어야 하는 것을 나타내는 경우와 같음, TT에 의해 수행되는 이동 세션 경로 추적의 결과는 FMT(528)가 호출되어야 하는 것을 나타내는 경우 와 같음 등뿐만 아니라, 그 조합)에 응답하여 활성활될 수 있다. MS(500)의 엔진, 데이터베이스, 및 툴의 설명이 이어진다.
일실시예에 있어서, 자동적으로 트리거된 엔진 또는 툴은 임계 레벨보다 높은 컴퓨팅 또는 다른 자원을 소비하기 시작할지라도, 엔진 또는 툴의 다음 자동적인 트리거링이 억제된다. 이 실시예에 있어서, 알람 또는 상태 지시자는 네트워크 관리자 또는 운영 직원이 엔진 또는 툴의 직접 또는 수동 제어를 가정할 수 있도록 억제된 자동적인 트리거링 조건을 나타내는 네트워크 관리자에게 제공된다.
범용 네트워크 실시예
상술한 실시예는 비보안 네트워크를 통해 보안 네트워크에 액세스하는 사용자를 위한 액세스 포인트들 사이에서 보안 터널링을 지원하는데 필요한 L3(level 3) VPN(Virtual Private Networking) 서비스, VPRN, IES 및/또는 다른 서비스와 같은 서비스를 가능하게 하기 위한 기존의 비보안 네트워크 환경 내에서 요소를 구성하도록 실시된다. 구성되었을 때, 보안 네트워크(예를 들어, 기업 네트워크)는 인터넷(예를 들어, 기업 또는 다른 보안 네트워크에 IPSec 접속)과 같은 비보안 네트워크를 통해 기업 네트워크에 액세스하는 사용자에 대하여 보호된다.
SEG(Secure Gateway) 실시예에 있어서, 바운더리 장치와 관련된 라우터는 보안 네트워크에 대한 보안 클라이언트로서 동작하는 한편 다양한 사용자는 라우터에 대한 보안 클라이언트로서 동작한다. 이와 같이, 사용자와 관련된 IPSec 트래픽은 보안 네트워크와 관련된 종료점에서라기보다는 오히려 보안 게이트웨이의 바운더리 장치에서 종료된다. 보안 네트워크 내에서 다수의 사용자 IPSec 터널의 종료를 회피함으로써, 네트워크의 보안성이 증대되고, 프로비저닝 복잡성이 감소되며, 기업 네트워크는 기존의 서비스 및 프로토콜(예를 들어, L2 VPN)을 유지할 수 있다.
다양한 실시예는 복수의 네트워크 환경 중 어느 하나 내에서 실시가능하다. 일반적으로 말하면, 다양한 실시예는 다음 발견 및 구성 기능을 포함하는 다양한 관리 기능이 더 충분히 실현될 수 있도록 비보안 네트워크 내의 전송 계층 요소가 그 전송 계층 요소에 의해 지원되는 경로와 발견, 구성 및 상관되는 메커니즘을 지원하는 시스템, 장치, 방법, 기능, 프로그램, 토폴로지 등을 제공한다.
LTE 네트워크 실시예를 이용한 상세한 예
다양한 실시예는 이제 LTE 네트워크의 맥락 내에서 설명될 것이다. 특히, 다양한 관리 기능은 네트워크 분석 기능, 결함 분석 기능, 감시 기능, 추적 기능, 공정성 또는 대역폭 관리 기능 등을 포함하는 LTE 관련 네트워크 환경에 관하여 더 상세히 설명될 것이다. LTE 관련 네트워크 환경에 관하여 여기서 설명되는 시스템, 장치, 방법, 기능, 프로그램, 토폴로지 등은 상술한 다양한 네트워크뿐만 아니라, 다른 타입의 네트워크, 시스템, 토폴로지 등과 같은 다른 네트워크 환경에도 적용가능한 것이 당업자에 의해 인지되며 본 교시에 의해 분별될 것이다.
LTE 예를 이용한 경로 및 전층 계층 요소의 상관
다양한 실시예는 지원되는 전송 계층 요소와 IPSec 경로 사이의 알려진 상관을 이용한다. IPSec에 관하여 여기서 설명되는 다양한 실시예 중 어느 하나는 여기서의 설명에 따른 IPSec 관련 관리 기능, 툴, 방법, 장치, 시스템 데이터 구조를 제공하는 것 등과 같이, 서로 임의의 방법으로 그리고 이하에 설명되는 다양한 실시예 중 어느 하나로 조합될 수 있다.
4G(Fourth Generation) LTE(long term evolution) 무선 네트워크를 관리하기 위한 관리 능력이 제공된다. 관리 능력은 분석기 툴, 감시 툴, 추적 툴, 실행 툴 등 중 하나 이상뿐만 아니라, 그 조합도 포함할 수 있다. 4G LTE 무선 네트워크 내에 관리 기능을 제공하는 맥락 내에서 여기서 주로 도시 및 설명되었을지라도, 여기서 도시 및 설명되는 관리 기능은 다른 타입의 무선 네트워크 내에서 이용될 수 있다는 점이 이해될 것이다.
도 6은 실시예에 따른 관리 시스템을 포함하는 예시적인 무선 통신 시스템을 도시한다. 구체적으로, 도 6은 복수의 UE(User Equipment) 또는 UD(User Device)(602), LTE(long term evolution) 네트워크(610), IP 네트워크(630), 및 MS(management system)(640)를 포함하는 예시적인 무선 통신 시스템(600)을 도시한다. LTE 네트워크(610)는 UE(602)와 IP 네트워크(630) 사이에서 통신을 지원한다. 도 5의 MS(500)에 관하여 설명되며 여기서 더 설명되는 바와 같이 LTE 네트워크(610)를 위한 다양한 관리 기능을 지원하기 위한 MS(640)가 구성된다.
UE(602)는 LTE 네트워크(610)와 같은 무선 네트워크에 액세스할 수 있는 무선 사용자 장치이다. UE(602)는 베어러 세션의 지원 시에 제어 시그널링을 지원할 수 있다. UE(602)는 전화, PDA, 컴퓨터, 또는 어떤 다른 무선 사용자 장치일 수 있다.
LTE 네트워크(610)는 예시적인 LTE 네트워크이다. LTE 네트워크의 구성 및 동작은 당업자에 의해 이해될 것이다. 예시적인 LTE 네트워크(610)는 2개의 eNodeB(6111 및 6112)(집합적으로, eNodeB(611)), 2개의 SGW(Serving Gateway)(6121 및 6122)(집합적으로, SGW(612)), PDN(Packet Data Network) Gateway(PGW) 613, 2개의 MME(Mobility Management Entity)(6141 및 6142)(집합적으로, MME(614)), 및 PCRF(Policy and Charging Rules Function)(615)를 포함한다. eNodeB(611)는 UE(602)를 위한 무선 액세스 인터페이스를 제공한다. SGW(612), PGW(613), MME(614), 및 PCRF(615)뿐만 아니라, 명료성을 위해 생략된 다른 구성요소도 IP를 이용하여 엔드 투 엔드 서비스 전송을 지원하는 EPC(Evolved Packet Core) 네트워크를 제공하도록 협력한다.
eNodeB(611)는 UE(602)에 대한 통신을 지원한다. 도 6에 도시된 바와 같이, 각 eNodeB(611)는 각각의 복수의 UE(602)를 지원한다. eNodeB(611)와 UE(602) 사이의 통신은 UE(602) 각각과 관련된 LTE-Uu 인터페이스를 이용하여 지원된다.
SGW(612)는 eNodeB(611)에 대한 통신을 지원한다. 도 6에 도시된 바와 같이, SGW(6121)는 eNodeB(6111)에 대한 통신을 지원하며, SGW(6122)는 eNodeB(6112)에 대한 통신을 지원한다. SGW(612)와 eNodeB(611) 사이의 통신은 각각의 S1-u 인터페이스를 이용하여 지원된다. S1-u 인터페이스는 핸드오버 동안 퍼-베어러 사용자 플레인 터널링 및 인터-eNodeB 경로 스위칭을 지원한다.
PGW(613)는 SGW(612)에 대한 통신을 지원한다. PGW(613)와 SGW(612) 사이의 통신은 각각의 S5/S8 인터페이스를 이용하여 지원된다. S5 인터페이스는 PGW(613)와 SGW(612) 사이의 통신을 위한 사용자 플레인 터널링 및 터널 관리와 같은 기능, UE 이동성으로 인한 SGW 재배치 등을 제공한다. S5 인터페이스의 PLMN(Public Land Mobile Network) 변형인 S8 인터페이스는 VPLMN(Visitor PLMN) 내의 SGW와 HPLMN(Home PLMN) 내의 PGW 사이에서 사용자 및 제어 플레인 접속성을 제공하는 인터-PLMN 인터페이스를 제공한다. PGW(613)는 SGi 인터페이스를 통해 LTE 네트워크(610)와 IP 네트워크(630) 사이에서 통신을 쉽게 한다.
MME(614)는 UE(602)의 이동성의 지원 시에 이동성 관리 기능을 제공한다. MME(614)는 eNodeB(611)를 지원한다. MME(6141)는 eNodeB(6111)를 지원하며, MME(6142)는 eNodeB(6112)를 지원한다. MME(614)와 eNodeB(611) 사이의 통신은 MME(614)와 eNodeB(611) 사이의 통신을 위한 제어 플레인 프로토콜을 제공하는 각각의 S1-MME 인터페이스를 이용하여 지원된다.
PCRF(615)는 서비스 제공자가 LTE 네트워크(610)를 통해 제공된 서비스에 관한 규칙 및 LTE 네트워크(610)를 통해 제공된 서비스에 대한 과금에 관한 규칙을 관리할 수 있는 동적 관리 능력을 제공한다.
도 6에 도시된 바와 같이, LTE 네트워크(610)의 요소는 요소들 사이에서 인터페이스를 통해 통신한다. LTE 네트워크(610)에 관하여 설명된 인터페이스는 세션으로도 지칭될 수 있다.
LTE 네트워크(610)는 EPS(Evolved Packet System/Solution)를 포함한다. 일실시예에 있어서, EPS는 EPS 노드(예를 들어, eNodeB(611), SGW(612), PGW(613), MME(614), 및 PCRF(615)) 및 EPS 관련 상호 접속성(예를 들어, S* 인터페이스, G* 인터페이스 등)을 포함한다. EPS 관련 인터페이스는 여기서 EPS 관련 경로로 지칭될 수 있다.
IP 네트워크(630)는 UE(602)가 컨텐츠, 서비스 등에 액세스할 수 있는 하나 이상의 패킷 데이터 네트워크를 포함한다.
MS(640)는 LTE 네트워크(610)를 관리하기 위한 관리 기능을 제공한다. MS(640)는 어떤 적당한 방식으로 LTE 네트워크(610)와 통신할 수 있다. 일실시예에 있어서, 예를 들어 MS(640)는 IP 네트워크(630)를 횡단하지 않는 통신 경로(641)를 통해 LTE 네트워크(610)와 통신할 수 있다. 일실시예에 있어서, 예를 들어 MS(640)는 IP 네트워크(630)에 의해 지원되는 통신 경로(642)를 통해 LTE 네트워크(610)와 통신할 수 있다. 통신 경로(641 및 642)는 어떤 적당한 통신 능력을 이용하여 구현될 수 있다. 도 6의 MS(640)로서의 이용에 적당한 예시적인 관리 시스템은 도 5에 관하여 도시 및 설명된다.
도 6은 예시적인 이동 서비스(601)와 관련된 경로를 더 도시한다. 도 6에 도시된 바와 같이, 예시적인 이동 서비스(601)는 eNodeB(1111), SGW(1121), PGW(113), eNodeB(1111)와 SGW(1121) 사이의 S1-u 인터페이스, SGW(1121)와 PGW(113) 사이의 S5/S8 인터페이스, PGW(113)와 IP 네트워크(130) 사이의 SGi 인터페이스, eNodeB(1111)와 MME(1141) 사이의 S1-MME 인터페이스, SGW(1121)와 MME(1141) 사이의 S1-u 인터페이스, 및 PGW(113)와 PCRF(115) 사이의 S7 인터페이스를 포함한다. 예시적인 이동 서비스(601)는 실선 표시를 이용하여 도 6 상에 마킹된다. 선택적 실시예는 예를 들어 MME(1141) 및 PCRF(115)를 포함할 수 있다.
EPS -경로- IPSec 인프라스트럭처 상관
도 6에 관하여 이전에 언급된 바와 같이, LTE 네트워크(110)의 다양한 실시예는 EPS 노드(예를 들어, eNodeB(111), SGW(112), PGW(113), MME(114), 및 PCRF(115)) 및 EPS 관련 상호 접속성(예를 들어, S* 인터페이스, the G* 인터페이스 등)을 갖는 EPS(Evolved Packet System/Solution) 인프라스트럭처를 포함한다. 본 명세서의 맥락 내에서, EPS 관련 인터페이스는 여기서 EPS 관련 경로 또는 간단히 경로로 지칭된다.
인프라스트럭처는 네트워크 서비스 제공자에 의해 제공되는 무선 서비스를 지원하기 위한 적절하고 필요한 EPS 노드를 제공하도록 설계된다. 네트워크 서비스 제공자는 소비자 기대와 일치하는 방식으로 그 무선/이동 사용자에게 그 서비스 제공을 제공하도록 네트워크를 관리한다. 예를 들어, 무선/이동 사용자(예를 들어, 다양한 음성, 데이터 또는 다른 서비스 제공을 구매하는 표준 전화, 스마트 폰, 컴퓨터 등의 사용자)는 거의 완전한 전화/음성 서비스, 매우 거의 관전한 데이터 서비스, 글리치없는 스트리밍 매체 등을 기대한다. 그 사용자 자신을 위한 서비스 번들을 구매하는 제3자 서비스 제공자는 다양한 네트워크들 사이에서 상호 운용성을 제공하기 위해 동일한 것뿐만 아니라 관리 레벨 인터페이스 및 다른 메커니즘을 기대한다. 고객 기대는 서비스의 가정된 또는 기대된 레벨, SLA(service level agreement)에 정의된 서비스의 레벨 등을 포함할 수 있다.
다양한 실시예는 각 EPS 관련 상호 접속이 그 기능을 지원하는데 필요한 특정 인프라스트럭처에 상관되는 네트워크 관리 시스템 및 툴에 관한 것이다. 즉, 각 EPS 관련 경로에 대해서는, 네트워크 요소, 서브요소, 링크 등을 포함하는 경로를 지원하는데 필요한 특정 인프라스트럭처에 대한 결합이 이루어지며, 결과적으로 그것이 고장 또는 저하하면, 결합된 EPS 관련 경로를 고장 또는 저하시킬 것이다.
트래픽 흐름 또는 경로는 필요한 지원 요소로서 요소, 서브요소 또는 링크를 포함하는 것을 이해함으로써, 네트워크 관리 시스템은 이 때 트래픽 흐름 또는 경로가 특정 요소, 서브요소 또는 링크의 저하/고장에 의해 영향을 받았는지를 구별할 수 있다. 더욱이, 네트워크 관리 시스템은 이 때 IPSec 터널이 특정 트래픽 흐름 또는 경로의 저하/고장에 의해 영향을 받는지를 구별할 수 있다. 이것은 다른 경우에 더 상세히 논의되는 바와 같이, 분석 툴의 맥락에 특히 유용하다.
마찬가지로, IPSec 터널 또는 트래픽 흐름 또는 경로가 고장 또는 저하된 것을 이해함으로써, 네트워크 관리 시스템은 이 때 요소, 서브요소 또는 링크가 IPSec 터널 또는 트래픽 흐름 또는 경로를 지원하는데 필요한지를 식별할 수 있다. 이와 같이, 네트워크 관리자는 고장 또는 저하된 IPSec 터널 또는 트래픽 흐름 또는 경로와 관련된 요소 또는 서브요소를 고장/저하시킨 요소, 서브요소 및/또는 링크를 식별하는 복잡성을 감소시킨다. 이것은 여기서 더 상세히 논의되는 바와 같이, 추적 툴의 맥락에 특히 유용하다.
상관의 맥락 내에서, 관리 시스템은 네트워크 요소 또는 서브요소 사이에서 각 접속에 대한 서비스 표시를 생성할 수 있다.
다양한 실시예에 있어서, 접속은 물리적 레벨(예를 들어, 케이블 또는 다른 물리적 레벨 링크) 또는 서비스 레벨(예를 들어, 일반화 클라우드 또는 다른 서비스 레벨 링크) 중 어느 하나 또는 둘 다에서 포트들 사이에 제공된다.
물리적 레벨 접속 일실시예에 있어서, 제 1 네트워크 요소(NE) 상의 포트(또는 다른 서브요소)가 고장나면, 이 때 제 2 NE 상의 대응하는 또는 접속된 포트(또는 다른 서브요소)는 LLDP(link down status)를 나타낼 것이다. 이와 같이, 제 2 NE는 제 1 NE의 고장을 인식한다. 다른 물리적 레벨 접속 실시예에 있어서, 그러한 인식은 라우터 또는 스위치 및/또는 그 다양한 서브요소와 같은 인접 네트워크 요소의 맥락 내에서 제공된다.
서비스 레벨 일실시예에 있어서, 제 1 NE 상의 포트(또는 다른 서브요소)는 제 2 NE 상의 포트(또는 다른 서브요소)에 직접, 또는 하나 이상의 NE(즉, 제 1 및 제 2 NE 사이의 다수의 홉)의 하나 이상의 포트(또는 다른 서브요소)를 통해 접속될 수 있다. 이 실시예에 있어서, 제 1 또는 임의의 중간 NE 상의 포트(또는 다른 서브요소)가 고장 또는 저하하면, 관리 시스템은 NE의 시퀀스에서 마지막 NE의 동작 상태로 인해 고장/저하가 존재하는 것을 인식할 수 없다. 그러나, 여기서 논의되는 관리 기술 및 툴로 인해, 네트워크 관리자는 초기 또는 중간 고장/저하를 인식한다. 이 동작의 다양한 원인은 혼잡, 국부/지역 재라우팅 등을 포함한다. 요건태, 상태 지시자는 녹색(적절한 동작을 나타내는)이지만, 네트워크의 이 부분의 성능은 억제 또는 저하된다. 이렇게 억제되거나 저하된 네트워크 동작은 여기서 논의되는 다양한 실시예에 의해 상관 및 예시된다.
발견 툴/기능
DE(Discovery Engine)(521)는 통상 LTE 네트워크(110)에 대한 정보를 발견하는 네트워크 발견 기능을 제공하도록 적응된다. 일반적으로 말하면, DE(521)는 이하에 더 상세히 논의되는 바와 같이, 네트워크를 형성하는 요소 및 서브요소에 관한 구성 정보, 상태/동작 정보 및 접속 정보가 수집, 검색, 추론 및/또는 생성되는 발견 프로세스를 수행한다.
발견 프로세스는 LTE 네트워크 내의 기초적인 요소, 서브요소 및 링크가 국부 네트워크 적응화, 재라우팅, 고장, 저하, 스케쥴링된 유지 등으로 인해 시간을 변경할 수 있다는 점에서 동적일 수 있다. 따라서, DE(521)는 네트워크 변경이 ANT(525), AUT(526), TT(527), 및 FMT(528) 중 어느 하나에 의해 검출 또는 야기된 후에 호출될 수 있다.
제 1 발견 레벨에서, NMS(network management system)는 관리될 네트워크를 형성하는 다양한 요소(및 대응하는 서브요소)를 발견하도록 임의의 레거시 데이터베이스 정보를 이용한다. 즉, 이 발견의 일부는 관리될 네트워크의 범용 블루프린트를 제공하는 기존의 데이터베이스 정보의 이용을 포함한다. 그러한 데이터베이스 내의 정보는 네트워크를 형성하는 주요 기능 요소와 관련된 정보, 네트워크 내에 설정된 주요 파이프 또는 도관 등을 포함한다. 그러한 정보가 매우 상세히 설명될 수 있을지라도, 정보는 경로-레벨 네트워크 동작을 반영하지 않는다.
제 2 발견 레벨에서, 네트워크 관리 시스템은 관리된 네트워크 내의 네트워크 요소 각각으로부터 구성 정보, 상태/동작 정보 및 접속 정보를 요청한다. 요청된 정보는 다양한 트래픽 흐름을 지원하는 네트워크 요소 내에서 특정 스위치, 포트, 버퍼, 프로토콜 등을 결정할 시에 유용한 정보를 포함한다.
네트워크 관리 시스템은 네트워크 요소와 서브요소 사이에서 가능한 접속 및 관리되고 있는 네트워크 내에서 접속을 추론하도록 기존의 데이터베이스 정보를 이용할 수도 있다. 예를 들어, 기존의 데이터베이스 정보는 그들 사이에서 트래픽 흐름을 지원할 수 있는 접속된 네트워크 요소의 시퀀스를 도시하는 것으로서 구성될 수 있다. 그러나, 기존의 데이터베이스 정보는 다양한 트래픽 흐름을 지원하는 네트워크 요소 내에 특정 스위치, 포트, 버퍼, 프로토콜, 수신된/송신된 패킷의 어드레스 정보 등을 식별하는 정보를 포함하지 않는다.
구성 정보는 네트워크 요소, 네트워크 요소의 구성 및/또는 구성, 네트워크 요소를 형성하는 서브요소의 기능 및/또는 구성 등을 식별하는 정보를 포함한다. 구성 정보는 예시적으로 네트워크 요소의 타입, 네트워크 요소에 의해 지원되는 프로토콜, 네트워크 요소에 의해 지원되는 서비스 등을 식별하는 정보를 포함하지만, 이들에 한정되지 않는다. 구성 정보는 예시적으로 네트워크 요소를 형성하는 서브요소와 관련된 입력 포트, 스위치, 버퍼, 출력 포트 등과 같이, 네트워크 요소 내의 다양한 서브요소에 대응하는 정보를 포함한다.
상태/동작 정보는 네트워크 요소 및/또는 네트워크 요소를 형성하는 서브요소의 동작 상태와 관련된 상태/동작 정보를 포함한다. 상태/동작 정보는 예시적으로 패킷 카운트, 이용 레벨, 구성요소 패스/페일(pass/fail) 지시, BER(bit error rate) 등과 같은 메트릭스에 관련되는 정보를 포함해서, 동작 상태/알람 지시자를 제공하는 정보를 포함하지만, 이에 한정되지 않는다.
접속 정보는 네트워크 요소 또는 그 서브요소로부터 수신되는 데이터 소스, 네트워크 요소 또는 그 서브요소에 의해 송신되는 데이터 목적지 등과 같이, 네트워크 요소 및/또는 서브요소 사이에서 접속을 확인 또는 추론하는데 유용한 정보를 포함한다. 즉, 접속 정보는 네트워크 요소의 주관적인 관점으로부터 네트워크 요소에 의해 제공되는 정보이다. 네트워크 요소는 패킷을 수신하는 네트워크 요소 또는 패킷을 송신하는 네트워크 요소를 구체적으로 식별하는 정보를 반드시 가질 필요는 없다.
접속 정보는 예시적으로 수신된 패킷과 관련된 소스 어드레스 정보, 송신된 패킷과 관련된 목적지 어드레스 정보, 패킷 흐름과 관련된 프로토콜 정보, 패킷 흐름과 관련된 서비스 정보, 심층 패킷 검사 결과 데이터 등을 포함하지만, 이들에 한정되지 않는다.
제 3 발견 레벨에서, 네트워크 관리 시스템은 요소 각각을 나타내는 상세한 프레임워크, 네트워크의 인프라스트럭처를 형성하는 서브요소 및 링크뿐만 아니라, 그 각각의 다양한 상호 접속을 형성하도록 발견된 정보를 이용한다.
일반적으로 말하면, DE(521)는 LTE 네트워크(110)와 관련되며, 여기서 집합적으로 발견 정보로 지칭되며, 구성 정보, 상태/동작 정보 및 접속 정보로 더 분할될 수 있는 어떤 적당한 정보를 발견할 수 있다.
다양한 실시예에 있어서, DE(521)는 네트워크 요소(EPC 네트워크 요소, 비-EPC 네트워크 요소 등), 네트워크 요소의 서브요소(예를 들어, 섀시, 트래픽 카드, 제어 카드, 인터페이스, 포트, 프로세서, 메모리 등), 네트워크 요소를 접속하는 통신 링크, 네트워크 요소들 사이에서 통신을 지원하는 인터페이스/세션(예를 들어, LTE-Uu 세션, S* 세션 등), 참조 포인트, 기능, 서비스 등뿐만 아니라, 그 조합와 같이, LTE 네트워크(110)의 구성요소 및 LTE 네트워크(110)의 구성요소와 관련된 정보를 발견한다.
DE(521)는 LTE 네트워크(110)의 네트워크 요소(예를 들어, eNodeB(111), SGW(112), PGW(113), MME(114), PCRF(115) 등과 같은 EPC 네트워크 요소; EPC 네트워크 요소들 사이에서 세션을 통해 통신을 쉽게 하는 비-EPC 네트워크 요소 등뿐만 아니라; 그 조합)를 발견할 수 있다. DE(521)는 LTE 네트워크(110)의 네트워크 요소와 관련된 네트워크 요소 구성 정보(예를 들어, 발견이 수행되는 네트워크 요소의 타입에 의존할 수 있는 섀시 구성, 라인 카드, 라인 카드 상의 포트, 프로세서, 메모리 등)를 발견할 수 있다. DE(521)는 인터페이스/세션 정보(예를 들어, LTE-Uu 세션과 관련된 정보, S* 세션과 관련된 정보 등뿐만 아니라, 그 조합)를 발견할 수 있다. DE(521)는 LTE 네트워크(110)의 참조 포인트를 발견할 수 있다. DE(521)는 기능, 서비스 등뿐만 아니라 그 조합도 발견할 수 있다. DE(521)는 LTE 네트워크(110)와 관련되며 여기서 도시 및 설명되는 다양한 관리 기능을 제공할 시의 이용에 적당하거나 적당할 수 있는 어떤 다른 정보를 발견할 수 있다.
DE(521)는 어떤 적당한 방식으로(예를 들어, 어떤 적당한 소스로부터, 어떤 적당한 시간에, 어떤 적당한 프로토콜을 이용하여, 어떤 적당한 포맷 등으로뿐만 아니라, 그 조합으로) LTE 네트워크(110)와 관련된 정보를 발견할 수 있다.
발견된 정보는 네트워크 운영 직원 및/또는 다른 사용자에 의해 신속한 검색을 쉽게 하도록 DD(Discovery Database)(522)와 같은 하나 이상의 데이터베이스에 저장된다. DD(522)는 당업자에 의해 이해되는 바와 같이, 어떤 적당한 포맷으로 정보를 저장할 수 있다. DD(522)는 CE(523)에 의한 이용을 위해, 그리고 선택적으로 그 각각의 관리 기능을 제공하는 ANT(525), AUT(526), TT(527), 및 FMT(528) 중 하나 이상에 의한 이용을 위해 발견 정보의 저장소를 제공한다.
상관 엔진 툴/기능
CE(Correlation Engine)(523)는 여기서 도시 및 설명되는 관리 기능을 지원하는데 이용되는 정보의 상관을 제공한다. CE(523)는 고객 서비스를 지원하는 특정 고객 트래픽 흐름 및/또는 경로에 발견된 네트워크 요소, 서브요소 및 링크 기능을 상관시키도록 예시적으로 DE(521)에 의해 제공되며 DD(522) 내에 저장되는 구성 정보, 상태/동작 정보 및/또는 접속 정보를 이용한다. 즉, 네트워크 및 그 다양한 상호 접속 내에서 요소, 서브요소 및 링크 각각을 나타내는 프레임워크를 이용하여, CE(523)는 고객 서비스, 트래픽 흐름 및/또는 경로를 지원하는데 필요한 특정 요소, 서브요소 및 링크에 각각의 고객 서비스, 트래픽 흐름 및/또는 EPS-경로를 상관시킨다.
상관 프로세스는 어떤 소정의 경로에 대해서는, 그 경로를 지원하는 기초적인 요소, 서브요소 및 링크가 국부 네트워크 적응화, 재라우팅, 고장, 저하, 스케쥴링된 유지 등으로 인해 시간을 변경할 수 있다는 점에서 동적일 수 있다. 따라서, CE(523)는 네트워크 변경이 ANT(525), AUT(526), TT(527), 및 FMT(528) 중 어느 하나에 의해 검출 또는 야기된 후에 호출될 수 있다.
CE(533)는 각각의 고객 서비스, 트래픽 흐름 및/또는 경로와 관련된 필요한 지원 인프라스트럭처의 현재의 표시를 유지하도록 동작한다. 이 표시를 제공함으로써, 고객 서비스 고장 또는 저하에 응답하는 노력은 영향을 받은 고객 서비스를(예를 들어, TT(Trace Tool)(527)를 이용함으로써) 지원하는 특정 요소, 서브요소 및 링크 기능에 초점이 맞추어질 수 있다. 마찬가지로, 요소, 서브요소 및 링크 기능 고장 또는 저하에 응답하는 노력은 영향을 받은 요소, 서브요소 및 링크 기능에 의해 지원되는 특정 고객 및/또는 서비스에 초점이 맞추어질 수 있다.
통상, 특정 요소 내의 서브요소의 단지 작은 서브셋은 특정 경로를 지원하는데 필요하다. 따라서, 요소 내의 다른 서브요소와 관련된 고장은 그 특정 경로에 영향을 주지 않는다. 각 경로에 경로를 지원하는데 필요한 단지 그 요소를 상관시킴으로써, 개별 경로를 관리하는 것과 관련된 처리/저장 부담은 비필수적인(특정 경로의 관점으로부터) 요소와 관련된 처리/저장 요건을 회피함으로써 감소된다.
일실시예에 있어서, CE(523)는 LTE 네트워크(110)의 경로를 지원하는 기초적인 전송 요소를 결정하기 위해 DD(Discovery Database)(522)에 저장된 발견 정보를 처리한 다음에, 그것은 PD(Path Database)(524)에 저장될 수 있다. 일실시예에 있어서, CE(523)에 의해 결정되어 PD(524)에 저장되는 경로 상관 전송 요소 정보는 LTE 네트워크(110)의 EPS 관련 경로를 포함한다. 통상, EPS 관련 경로는 2개의 EPS 참조 포인트들 사이에서 대등 관계를 나타내는 전송 메커니즘인 경로인데 반해, EPS 참조 포인트는 4G 사양에 존재하는 프로토콜 중 하나 이상을 구현하는(예를 들어, GTP, PMIP, 또는 어떤 다른 적당한 프로토콜 등뿐만 아니라, 그 조합을 이용하는) LTE 네트워크(110)의 임의의 노드에 대한 종료점이다. 경로 상관 전송 요소 정보는 네트워크 요소, 통신 링크, 서브넷, 프로토콜, 서비스, 응용, 계층 및 그 임의의 부분을 포함할 수 있다. 이 전송 요소는 네트워크 관리 시스템 또는 그 부분에 의해 관리될 수 있다. 네트워크 관리 시스템은 이 전송 요소를 간단히 인식할 수 있다.
일실시예에 있어서, CE(523)에 의해 결정되어 PD(524)에 저장되는 경로 상관 전송 요소 정보는 다른 타입의 경로(예를 들어, EPS 관련 경로 이외의 경로)를 포함한다. 예를 들어, 다른 타입의 경로는 (1) EPS 관련 경로의 서브부분을 형성하는 경로(예를 들어, EPS 관련 경로가 기초적인 통신 기술을 이용하여 지원되는 경우에, EPS 관련 경로의 서브부분을 형성하는 경로가 기초적인 통신 기술과 관련된 경로일 수 있는), (2) 다수의 EPS 관련 경로를 포함하는 경로(예를 들어, S1-u 및 S5/S8 세션 둘 다를 횡단하는 eNodeB로부터 PGW로의 경로, LTE-Uu 세션 및 S1-u 세션 둘 다를 횡단하는 UE로부터 SGW로의 경로 등), 및 (3) 엔드 투 엔드 이동 세션 경로(예를 들어, UE와 IP 네트워크 사이의 경로) 중 하나 이상을 포함할 수 있다. CE(523)에 의해 결정되어 PD(524)에 저장되는 경로 상관 전송 요소 정보는 다양한 타입의 경로와 상관된 다른 정보를 포함할 수 있다.
CE(523)에 의해 결정되어 PD(524)에 저장되는 경로 상관 전송 요소 정보는 어떤 적당한 처리를 이용하여 결정될 수 있다.
CE(523)는 LTE 네트워크(110)의 발견된 구성요소들 사이에서 직접적인 상관을 이루도록 적응된다.
CE(523)는 LTE 네트워크(110)의 발견된 구성요소들 사이에서 결합에 관한 추론을 이루도록 적응된다.
일실시예에 있어서, CE(523)가 동작하는 네트워크 관리자는 상이한 EPS 경로(S1-u를 포함하는)의 대응에 관련된 정보 모두를 실질적으로 포함한다. 그 대등 정보로부터, CE(523)는 경로의 각 엔드 상에서 노드를 식별한 다음에 대응하는 인접 노드를 식별 또는 검사할 수 있다. 인접 노드 정보로부터, CE(523)는 이 때 인접 노드의 다음 그룹 등을 식별 또는 검사할 수 있다.
상관 엔진은 관리된 네트워크 요소로부터 그 경로를 발견하면 경로를 처리하기 시작한다. 상관 엔진은 경로를 발견하면 그 경로를 지원하는 다양한 인프라스트럭처 요소, 서브요소 및 링크를 계산, 추론 및/또는 다르게 발견한다. 일실시예에 있어서, SGW 내의 초기 S1-u 참조 포인트가 발견된다. 임의의 참조 포인트 또는 S-피어가 발견될 때, 대응하는 S-경로가 그 다음에 형성된다.
CE(523)에 의해 결정되는 경로는 그것과 관련된 어떤 적당한 경로 정보를 가질 수 있다. 일실시예에 있어서, 예를 들어 EPS 관련 경로와 관련된 경로 정보는 EPS 관련 경로를 지원하는 기초적인 통신 능력을 나타내는 임의의 정보를 포함할 수 있다. 예를 들어, EPS 관련 경로에 대한 경로 정보는 EPS 관련 경로의 엔드 포인트를 형성하는 S* 참조 포인트를 식별하고, 경로를 지원하는 네트워크 요소(예를 들어, 라우터, 스위치 등)를 식별하고, 경로를 지원하는 네트워크 요소 상에서 포트를 식별하고, 경로를 지원하는 IP 인터페이스를 식별하고, 경로를 지원하는 IP 인터페이스의 구성을 지정하며, 경로를 지원하는 네트워크 요소의 포트의 구성(예를 들어, 관리 구성, 동작 구성 등)을 지정하는 정보 등뿐만 아니라, 그 조합도 포함할 수 있다.
다양한 실시예에 있어서, 경로는 공통 요소, 서브요소, 링크, 서비스, 제공자, 제3자 서비스 수요자 등에 따라 논리적 구조로 함께 그룹화된다.
번들은 공통 엔드 포인트 요소, 개시 포인트 요소 등과 같은 공통 요소를 공유하는 경로의 논리적 그룹화일 수 있다. 이 맥락에서, 번들링은 공통 요소의 고장에 영향을 받는 경로 모두를 식별하는데 이용된다. 즉, 공통 타입의 복수의 다른 네트워크 요소로부터 특정 네트워크 요소에서 종료되는 다수의 경로는 번들 또는 그룹으로서 정의될 수 있다. 예는 "SGWx와 통신하는 eNodeB 요소 모두"(여기서 SGWx는 특정 SGW를 나타냄); 또는 "PGWx와 통신하는 SGW 모두"(여기서 PGWx는 특정 PGW를 나타냄)를 포함한다. 이러한 그리고 다른 번들 또는 그룹은 접속되는 공통 네트워크 요소 또는 서브요소에 대하여 마찬가지로 위치되는 네트워크 요소 또는 서브요소의 신속한 식별을 가능하게 하도록 정의될 수 있다.
상관된 정보는 네트워크 운영 직원 및/또는 다른 사용자에 의해 신속한 검색을 쉽게 하도록 경로 데이터베이스(PD)(524)와 같은 하나 이상의 데이터베이스에 저장된다. PD(524)는 CE(523)에 의해 결정된 경로 상관 전송 요소 정보를 저장한다. PD(524)는 어떤 적당한 포맷으로 경로 상관 전송 요소 정보 및 관련 경로 정보를 저장할 수 있다. PD(524)는 그 각각의 관리 기능을 제공하는 ANT(525), AUT(526), TT(527), 및 FMT(528) 중 하나 이상에 의한 이요을 위해 경로 및 네트워크 요소 관련 정보의 저장소를 제공한다.
도 7은 일실시예에 따른 관리 시스템에 의해 수행되는 발견 및 상관 프로세스를 예시하는 상위 레벨 블록도를 도시한다. 도 7에 도시되며, 다양한 도면에 관하여 여기서 설명된 바와 같이, 예시적인 MS(140)에 의해 수행되는 발견 및 상관 프로세스(700)는 DE(521), DD(522), CE(523), 및 PD(524)에 의해 수행된다. DE(521)는 LTE 네트워크(110)와 관련된 정보를 발견해서 DD(522)에 발견 정보를 저장하며, DE(521) 및 DD(522)는 LTE 네트워크의 경로를 식별하기 위한 발견 정보를 상관시키고 PD(524)에 LTE 네트워크의 식별된 경로와 관련된 경로 상관 전송 요소 정보를 저장할 시에 CE(523)에 의한 이용을 위해 CE(523)에 발견 정보를 제공한다.
도 8은 다양한 실시예의 이용에 적당한 예시적인 관리 시스템에 의해 수행되는 발견 및 상관 프로세스를 예시하는 상위 레벨 블록도를 도시한다. 도 8에 도시되며, 다양한 도면에 관하여 설명되는 바와 같이, 예시적인 MS(140)에 의해 수행되는 서비스 생성 및 상관 프로세스(800)는 서비스 생성 엔진(528), 상관 엔진(523), 경로 데이터베이스(524) 및 서비스 데이터베이스(529)에 의해 수행된다.
서비스 생성 엔진(528)은 LTE 네트워크(110)의 전송 계층 인프라스트럭처에 의해 지원되는 다양한 경로 상에 구축되는 IPSec 서비스 계층과 같은 서비스 계층을 생성하며 서비스 데이터베이스(529)에 서비스 계층 정보를 저장한다. 서비스 생성 엔진(528)은 서비스 계층을 수정, 업데이트, 유효화 또는 다르게 변경할 수도 있으며, 그 경우에 서비스 데이터베이스(529) 내의 서비스 계층 정보가 또한 변경된다.
서비스 생성 엔진(528) 및 서비스 데이터베이스(529)는 LTE 네트워크(110)의 이전에 식별된 경로(전송 계층 요소를 지원하는)에 서비스를 상관시키고 PD(524)에 서비스 상관 경로 및 확대하면 LTE 네트워크(110)의 서비스 상관 경로와 관련된 전송 요소 정보를 저장할 시에 CE(523)에 의한 이용을 위해 CE(523)에 서비스 정보를 제공한다. 도 8의 발견 및 상관 프로세스(800)는 도 1 내지 도 5 및 대응하는 본문을 참조하여 더 잘 이해될 수 있다.
ANT(Analyzer Tool)(525)는 이동 서비스로 LTE 네트워크의 EPS 요소를 구성한다. 일실시예에 있어서, EPS 요소는 EPS 네트워크 요소(예를 들어, eNodeB, SGW, PGW, MME, the PCRF, 및/또는 어떤 다른 EPS 관련 네트워크 요소) 및 EPS 네트워크 요소들 사이의 EPS 관련 상호 접속성(예를 들어, S* 세션, G* 세션 등)을 포함한다. 예를 들어, 도 1의 LTE 네트워크(110)에 관하여, ANT(525)는 이동 서비스(예를 들어, eNodeB(111), SGW(112), PGW(113), MME(114), PCRF(115), S* 세션 등)로 LTE 네트워크(110)의 EPS 요소를 구성한다. 이와 같이, 이동 서비스는 EPS 네트워크 요소 및 EPS 네트워크 요소들 사이의 EPS 관련 상호 접속성의 표시이다.
이동 서비스는 각 네트워크 요소에 대해서는 그것에 접속된 다른 네트워크 요소 모두의 리스트를 저장한다. 따라서, 특정 eNodeB에 대해서는, 이동 서비스는 eNodeB가 전달하는 SGW 및 PGW를 포함하는 리스트를 저장한다. 마찬가지로, 특정 SGW에 대해서는, 이동 서비스는 SGW가 전달하는 eNodeB 및 PGW를 포함하는 리스트를 저장한다. 다른 공통 또는 앵커 요소는 그러한 번들을 형성하는데 이용될 수 있다. 이 예는 앵커 또는 공통 요소로서의 특정 eNodeB 및 앵커 또는 공통 요소로서의 특정 SGW 각각을 예상한다. 다른 앵커 또는 공통 요소는 다양한 실시예의 맥락 내에서 정의될 수 있다.
ANT(525)는 어떤 적당한 정보를 이용하여(예를 들어, PD(524)로부터 EPS 관련 경로에 상관된 기초적인 전송 요소를 이용하여, DD(522)로부터 발견 정보를 처리함으로써 등뿐만 아니라, 그 조합도 이용하여) 이동 서비스로 LTE 네트워크(110)의 EPS 요소를 구성할 수 있다. 일실시예에 있어서, ANT(525)는 LTE 네트워크(110)의 영역이 DE(521)에 의해 발견됨에 따라 이동 서비스를 생성하도록 구성된다.
분석 기능/툴
ANT(525)는 LTE 네트워크의 서비스 제공자가 LTE 네트워크의 에지에서 eNodeB 액세스 노드를 통해 IP 코어 네트워크로부터 서비스 전송 분배 네트워크의 현재 상태 뷰를 갖는 것을 가능하게 한다. ANT(525)는 LTE 네트워크의 서비스 제공자가 논리적 레벨에서 LTE 네트워크의 상태를 모니터링하는 것을 가능하게 한다. 이것은 LTE 네트워크 내에서 이동 트래픽의 전송을 방해할 수 있는 문제 또는 잠재적인 문제를 효율적으로 진단하는데 유리하다. 예를 들어, LTE 네트워크의 장비는 동작될 수 있지만, SGW 인스턴스에 관한 구성 오류는 이동 트래픽의 전송을 차단할 수 있다.
다양한 실시예에 있어서, 다른 네트워크 파라미터는 여기서 논의된 다양한 툴 및 기술에 의해 모니터링 및 처리된다. 예를 들어, 각 특정 IPSec 터널의 모니터링에 더하여, 특정 터널이 속하는 IPsec 서비스가 모니터링될 수 있다. 추가적인 모니터링은 SEG, 공중+사설 L3VPN, IPSec 카드와 그룹, 인터페이스 등의 모니터링과 같은 유용한 곳에 제공될 수 있다. ANT(525)는 LTE 네트워크의 서비스 제공자가 LTE 네트워크(110)의 구성요소가 LTE 네트워크(110)의 이동 서비스 레벨에서 식별되는 문제 또는 잠재적인 문제에 책임을 져야 하는지를 빠르게 그리고 쉽게 식별하는 것, 예를 들어 EPS 요소가 문제 또는 잠재적인 문제에 책임을 져야 하는지를 식별한 다음에, 책임이 있는 EPS 요소의 구성요소가 문제 또는 잠재적인 문제에 책임을 져야 하는지를 더 식별하는 것을 가능하게 한다.
예를 들어, 이것은 IPSec 터널 또는 이동 서비스 레벨에서 문제에 책임을 져야 하는 특정 EPS 네트워크 요소를 식별한 다음에, 문제에 책임을 져야 하는 EPS 네트워크 요소의 구성요소를 식별하도록 문제에 책임을 져야 하는 EPS 네트워크 요소를 드릴 다운(drill down)하는 것을 포함할 수 있다. EPS 네트워크 요소의 구성요소는 EPS 네트워크 요소의 임의의 구성요소(예를 들어, 트래픽 카드, 제어 카드, 포트, 인터페이스, 프로세서, 메모리 등)를 포함할 수 있다.
ANT(525)는 구성요소 정보가 요구되는 EPS 요소의 타입에 의존할 수 있는 어떤 적당한 방식으로 EPS 요소를 드릴 다운할 수 있다(예를 들어, EPS 네트워크 요소의 구성요소를 결정하기 위한 DD(522)에 저장된 발견 정보를 이용하여, 경로 상관 전송 요소, 서브요소, 시스템 및 EPS 관련 경로의 구성요소를 결정하기 위한 PD(524)에 저장된 다른 정보를 이용하여 등뿐만 아니라, 그 조합을 이용하여). ANT(525)는 ANT(525)에 결정되는 IPSec 터널 또는 이동 서비스에 대한 하나 이상의 관리 기능을 수행할 수 있다.
일실시예에 있어서, ANT(525)는 IPSec 터널 또는 이동 서비스와 관련된 통계(예를 들어, IPSec 터널 또는 이동 서비스와 관련된 엔드 투 엔드 통계, IPSec 터널 또는 이동 서비스의 개별 구성요소 및/또는 구성요소의 서브셋과 관련된 통계 등뿐만 아니라, 그 조합)를 수집할 수 있다. ANT(525)는 IPSec 터널 또는 이동 서비스와 관련된 혼잡의 존재를 식별하거나 혼잡의 존재를 방해하기 위해 수집된 통계를 분석할 수 있다. ANT(525)는 그러한 분석을 기초로 하여 혼잡을 해결 또는 방지하는 해결책을 사전적으로 결정할 수 있다.
일실시예에 있어서, ANT(525)는 IPSec 터널 또는 이동 서비스를 증명하기 위한(예를 들어, ANT(525)에 의해 현재 유지되는 IPSec 터널 또는 이동 서비스의 뷰가 정확하며 업데이트될 필요가 없는 것을 보증하기 위한, 그러한 업데이트가 필요한 IPSec 터널 또는 이동 서비스의 뷰를 업데이트할 시의 이용을 위한 등뿐만 아니라, 그 조합을 위한) 감사를 개시할 수 있다.
일실시예에 있어서, ANT(525)는 IPSec 터널 또는 이동 서비스에 대한 OAM(Operations, Administration, and Maintenance) 테스트를 개시할 수 있다.
일실시예에 있어서, ANT(525)는 IPSec 터널 또는 이동 서비스에 대한 결함 분석을 수행할 수 있다. ANT(525)는 그 중요성에 기초하여 검출된 이벤트를 카테고리화할 수 있다.
일실시예에 있어서, ANT(525)는 이벤트의 시각적 표시(예를 들어, 이벤트의 위치, 이벤트의 범위 등)를 서비스 제공자의 네트워크 기술자에게 제공하기 위해 디스플레이되도록 된 심상의 생성을 개시할 수 있다.
일실시예에 있어서, ANT(525)는 이벤트의 범위 및 영향의 더 좋은 이해를 제공하는 추가적인 정보를 결정하기 위해 이벤트와 관련된 이동 서비스에 대한 하나 이상의 OAM 테스트(예를 들어, 핑, 트레이스라우트 등)를 개시할 수 있다.
ANT(525)는 ANT(525)에 결정되는 IPSec 터널 또는 이동 서비스와 관련된 어떤 다른 적당한 관리 기능을 수행할 수 있다.
일반적으로 말하면, 분석기 툴은 이전에 설명된 바와 같이 네트워크 관리자가 네트워크 요소 및 그 접속을 발견한 후에 호출될 수 있다. 서비스 인식 관리자는 PGW, SGW, eNodeB, MME, PCRF, SGSN 등과 같은 LTE 타입 네트워크 요소를 식별한다. PGW, SGW 및 eNodeB가 주요 관심이다. 이 네트워크 요소 사이에 네트워크 요소 상의 참조 포인트를 관련시킨 EPS 경로가 있으며, EPS 경로/참조 포인트는 S1-u, S5, SGi 등으로서 표시된다. 따라서, PGW, SGW, eNodeB 등에 대한 "네트워크 요소" 타입, 또는 EPS 경로에 대한 "커넥터" 타입의 모듈러 구성요소의 수집이 데이터베이스에 저장된다.
네트워크 요소 및 커넥터를 발견한 후에, 서비스 인식 관리자는 특정 eNodeB를 통해 서브되는 고객과 PGW에서 IP 코어 네트워크로부터 수신된 데이터 스트림 또는 다른 서비스 사이의 네트워크 요소 및 커넥터와 같은 2개의 타입의 모듈러 구성요소(즉, 네트워크 요소 및 커넥터)의 인스턴스를 접속 또는 연결함으로써 복수의 IPSec 터널 또는 이동 서비스를 정의한다. 따라서, 일실시예에 있어서, 이동 서비스는 네트워크 요소 및 커넥터의 연결된 시퀀스를 포함하는 구조 또는 래퍼(wrapper)를 포함한다. 이동 서비스는 특정 고객, 특정 eNodeB, 특정 APN 등에 관하여 정의될 수 있다. 이동 서비스는 단일 또는 공통 네트워크 요소 상의 SGW 또는 PGW 중 하나 이상과 같은 네트워크 요소 상의 EPS의 하나 이상의 인스턴스를 포함할 수 있다.
IPSec 터널 및/또는 이동 서비스를 정의한 후에, IPSec 터널 또는 이동 서비스가 분석 또는 테스트될 수 있다. 그러한 테스트는 이동 서비스를 형성하는 구성요소, 이동 서비스와 관련된 엔드 포인트 등에 관한 것일 수 있다. 그러한 테스트는 이동 서비스를 형성하는 특정 구성요소 또는 엔트포인트의 특정 부분에 관한 것일 수 있다.
일실시예에 있어서, 개별 IPSec 터널 또는 이동 서비스 또는 IPSec 터널 또는 이동 서비스의 그룹은 IPSec 터널 또는 이동 서비스의 특정 개별 또는 그룹을 형성하는 이동 서비스 모듈러 구성요소 각각으로부터 통계를 수집함으로써 분석된다. 즉, 이동 서비스 분석 요청(수동으로 또는 자동적으로 생성되는)은 이동 서비스를 형성하는 모듈러 구성요소(예를 들어, 네트워크 요소 및 커넥터) 각각에 관련되는 통계적 정보를 수집하기 위한 요청으로서 관리 시스템에 의해 해석된다.
따라서, IPSec 터널 또는 이동 서비스를 형성하는 "네트워크 요소" 및 "커넥터"와 같은 모듈러 구성요소의 논리적 표시는 정확한 감사, 분석 및 추적 기능이 다양한 실시예의 맥락 내에서 구현되는 것을 가능하게 한다.
감사 기능/툴
AUT(Audit Tool)(526)는 네트워크를 감사하기 위한 감사 능력을 제공하도록 구성된다. AUT(526)는 최종 사용자 트래픽을 방해하고 있거나 방해할 수 있는 네트워크 결함 또는 잠재적인 네트워크 결함을 식별 및 취급하기 위한 네트워크의 네트워크 인프라스트럭처의 사전적 감사를 가능하게 한다. AUT(526)는 네트워크 결함 또는 잠재적인 네트워크 결함의 신속한 검출, 결함의 영향 또는 잠재적인 네트워크 결함의 잠재적인 영향을 결정하기 위한 영향 분석, 및 임의의 네트워크 결함 또는 잠재적인 네트워크 결함의 교정을 지원한다.
AUT(526)는 예를 들어 포트의 헬스, 라인 카드, 물리적 접속성, 논리적 접속성, S* 참조 포인트, S* 세션, 네트워크 경로, 최종 사용자의 엔드 투 엔드 이동 세션 등뿐만 아니라, 그 조합을 체크하기 위해 임의의 입도 레벨에서 LTE 네트워크(110)에 관한 심층 네트워크 헬스 또는 건전성 체크(sanity check)를 수행하는 능력을 제공한다. AUT(526)는 그러한 네트워크가 본래 복잡해서 상이한 전송 기술 및 적용된 QoS 정책을 이용하는 다수의 네트워크 요소를 횡단하는 IP 네트워크에 걸쳐 전송을 위해 패킷화된 이동 가입자 데이터에 상관하는 것이 종종 어려운 네트워크 결함에 매우 민감하므로, LTE 네트워크를 관리할 시에 상당한 장점을 제공한다.
일실시예에 있어서, AUT(526)는 LTE 네트워크(110) 내에서 상호 접속성의 감사를 지원한다. 상호 접속성의 감사는 접속성을 사전적으로 모니터링하는 것, 접속성을 테스트하는 것, 및 동일한 감사 기능을 수행하는 것을 포함할 수 있다.
추적 기능/툴
TT(Trace Tool)(527)는 이동 세션 추적 능력을 제공하도록 구성된다. 이동 세션 추적 능력은 UE의 이동 세션의 경로가 무선 네트워크를 통해 추적되는 것을 가능하게 한다. 간단히, TT(527)는 무선 네트워크를 통해 IPSec 터널 또는 이동 세션의 경로의 결정, 및 선택적으로 이동 세션과 관련된 추가적인 정보의 결정을 가능하게 한다. IPSec 터널 이동 세션 추적 능력은 무선 서비스 제공자가 무선 네트워크를 통해 IPSec 터널 또는 이동 세션의 결정된 경로에 기초하여 관리 기능을 수행하는 것을 가능하게 한다.
공정성 관리자 기능/툴
FMT(Fairness Manager Tool)(528)는 이동 가입자에 의해 네트워크 자원의 사용을 제어하도록 된 다양한 공정성 관리 메커니즘을 제공한다. 간단히, FMT(528)는 SLA(service level agreement) 등에 의해 정의된 것과 같이, 고객에 의해 적절한 자원(예를 들어, 대역폭) 이용을 실행한다. 공정성 관리자는 다양한 실행 메커니즘 중 어느 하나에 의해 적절한 대역폭을 실행한다. 공정성 관리자는 레벨이 일치 또는 허용가능한 실시에 의해 정의되는지에 관계없이 다양한 사용자, 사용자 그룹, 고객, 제3자 네트워크 구매자 등과 관련된 적절한 자원 소비 레벨을 실행하도록 동작한다.
다양한 실시예를 지원하는 환경의 예
일반적으로 말하면, 다양한 실시예는 사용자가 관리 시스템/소프트웨어와 상호작용해서 사용자 인터페이스를 통해 사용자에 의해 선택되는 상위 레벨 경로 요소와 관련된 하위 레벨 경로 요소를 디스플레이함으로써 상위로부터 하위 계층적 레벨 경로 요소로 더 깊게 "드릴 다운'하는 것을 가능하게 한다. 사용자는 그래픽 사용자 인터페이스(GUI)로 컴퓨터 단말 또는 다른 사용자 워크스테이션을 이용하는 NOC(network operations center)에서의 사용자일 수 있다.
일실시예에 있어서, 이동 세션 경로 정보는 이동 세션을 지원하는 네트워크 구성요소를 단지 포함하는 "서브맵"을 생성하며 생성된 서브맵을 디스플레이함으로써 디스플레이된다. 예를 들어, 무선 네트워크의 그래픽 디스플레이는 다수의 eNodeB, SGW, 및 PGW를 포함할지라도, 이동 세션에 대한 서브맵은 그 요소 각각 중 단지 하나뿐만 아니라, 그 요소들 각각 사이의 세션을 포함함으로써, 무선 네트워크의 네트워크 요서 이동 세션을 지원하고 있는지를 강조할 것이다.
이 예에 있어서, 서브맵은 어떤 적당한 방식으로(예를 들어, 동시에 윈도우에, 무선 네트워크가 표시되는 윈도우의 상이한 부분에, 서브맵을 디스플레이하기 위해 개방되는 새로운 윈도우 등에) 디스플레이될 수 있다. 이 예에 있어서, 이전 예에서와 같이, 이동 세션 경로, 또는 심지어 이동 세션 경로의 구성요소 및 서브구성요소(예를 들어, 물리적 장비, 물리적 통신 링크, 물리적 통신 링크 상의 서브채널 등)는 사용자에 의해 선택될 때, 사용자에게 이동 세션과 관련된 추가적인 이동 세션 경로 정보가 주어질 때 선택가능할 수 있다.
그러한 예에 대해서는, 이동 세션 경로와 관련된 추가적인 정보의 디스플레이가 어떤 적당한 방식으로(예를 들어, 이동 세션 경로 정보를 포함하는 디스플레이 윈도우 내에서 재생함으로써, 이동 세션 경로 정보를 포함하는 새로운 윈도우를 개방함으로써 등뿐만 아니라, 그 조합으로) 제공될 수 있다는 점이 이해될 것이다.
다양한 방법의 구현은 여기서 논의된 바와 같이 하나 이상의 경로의 논리적 및/또는 물리적 표시, 하나 이상의 경로를 지원하는 기초적인 전송 요소뿐만 아니라, 다양한 프로토콜, 하드웨어, 소프트웨어, 펌웨어, 도메인, 서브넷, 네트워크 요소 및/또는 서브요소도 선택적으로 초래한다. 물리적 및/또는 논리적 표시 중 어느 하나는 그래픽 사용자 인터페이스(GUI)의 맥락 내에서 시각적으로 표시될 수 있다. 더욱이, 이 물리적 및/또는 논리적 표시들 사이의 다양한 상호작용 및 대응성은 "경로를 지원하는데 필요한", "클라이언트/고객을 지원하는데 필요한", "단일 클라이언트/고객과 관련된" 표시 등과 같은 특정 기준에 한정되는 표시를 포함해서 시각적으로 표시될 수도 있다. 그러한 그래픽 표시 및 관련된 심상은 정적 또는 동적 방식으로 네트워크의 인프라스트럭처 뷰(즉, 하나 이상의 전송 요소의 관점으로부터) 또는 서비스 뷰(즉, 하나 이상의 서비스의 관점으로부터)를 제공한다.
여기서 설명되는 기능을 수행할 시의 이용에 적당한 컴퓨터는 예시적으로 프로세서 요소(예를 들어, CPU(central processing unit) 및/또는 다른 적당한 프로세서), 메모리(예를 들어, RAM(random access memory), ROM(read only memory) 등), 관리 모듈/프로세서, 및 다양한 입력/출력 장치(예를 들어, 사용자 입력 장치(키보드, 키패드, 마우스 등과 같은), 사용자 출력 장치(디스플레이, 스피커 등과 같은), 입력 포트, 출력 포트, 수신기/송신기(예를 들어, 네트워크 접속 또는 다른 적당한 타입의 수신기/송신기), 및 저장 장치(예를 들어, 하드 디스크 드라이브, 콤팩트 디스크 드라이브, 광 디스크 드라이브 등))를 포함할 수 있다. 일실시예에 있어서, 다양한 실시예를 호출하기 위한 방법과 관련된 컴퓨터 소프트웨어 코드는 여기서 앞서 논의된 바와 같이, 기능을 구현하도록 메모리로 탑재되며 프로세서에 의해 실행될 수 있다. 다양한 실시예를 호출하기 위한 방법과 관련된 컴퓨터 소프트웨어 코드는 컴퓨터 판독가능 저장 매체, 예를 들어 RAM 메모리, 자기 또는 광 드라이브 디스켓 등 상에 저장될 수 있다.
여기서 도시 및 설명된 기능은 소프트웨어 및/또는 소프트웨어 및 하드웨어의 조합으로 예를 들어 범용 컴퓨터, 하나 이상의 ASIC(application specific integrated circuit), 및/또는 어떤 다른 하드웨어 균등물을 이용하여 구현될 수 있다는 점이 주목되어야 한다.
소프트웨어 방법으로 여기서 논의된 단계의 일부는 하드웨어 내에서 예를 들어 다양한 방법 단계를 수행하기 위한 프로세서와 협력하는 회로 내에서 구현될 수 있는 것이 생각된다. 여기서 설명되는 기능/요소는 컴퓨터 프로그램 제품으로서 구현될 수 있으며, 여기서 컴퓨터 명령어는 컴퓨터에 의해 처리될 때, 여기서 설명된 방법 및/또는 기술이 호출 또는 다르게 제공되도록 컴퓨터의 동작을 적응시킨다. 본 발명의 방법을 호출하기 위한 명령어는 유형 고정 또는 제거가능 매체에 저장되고, 유형 또는 무형 방송 또는 다른 신호 베어링 매체에서 데이터 스트림을 통해 송신되며/되거나 명령어에 따라 동작하는 컴퓨팅 장치 내의 메모리 내에 저장될 수 있다.
관리 능력이 LTE 무선 네트워크를 관리하는데 이용되는 실시예에 관하여 여기서 주로 도시 및 설명되었을지라도, 관리 능력은 다른 타입의 4G 무선 네트워크, 3G 무선 네트워크, 2.5G 무선 네트워크, 2G 무선 네트워크 등뿐만 아니라, 그 조합을 포함하지만, 이들에 한정되지 않는 다른 타입의 무선 네트워크를 관리하는데 이용될 수 있다는 점이 이해될 것이다.
비보안 네트워크 인프라스트럭처 상에 IPSec 네트워크를 프로비저닝하기 위한 다양한 방법이 개시되며, 여기서 비보안 네트워크 인프라스트럭처는 복수의 서비스를 지원하도록 된 복수의 네트워크 요소 및 통신 링크를 포함할 수 있으며, 방법은 보안 네트워크와 보안 통신하는 하나 이상의 스위칭 장치를 식별하는 단계; 식별된 스위칭 장치와 관련된 구성 정보를 검색하는 단계; IPSec 네트워크를 지원하는 데 필요한 비보안 네트워크 인프라스트럭처 내에서 전송 계층 요소를 결정하는 단계; 및 보안 통신이 IPSec 네트워크와 보안 네트워크 사이에 제공되도록 IPSec 네트워크에 식별된 필요한 전송 계층 요소의 동작을 적응시키는 단계를 포함할 수 있다. 하나 이상의 스위칭 장치를 식별하는 단계는 NOC(network operations center)에서 엔트리 형태를 통해 제공될 수 있다. IPSec 네트워크를 지원하는데 필요한 비보안 네트워크 인프라스트럭처의 전송 계층 요소는 전송 계층 요소 및 이동 서비스를 상관시키는 데이터를 이용하여 식별될 수 있다. 전송 계층 요소 및 이동 서비스를 상관시키는 데이터는 여기서 설명된 다양한 기술에 따라 발견된다.
다양한 실시예의 양상은 청구항에 특정된다. 다양한 실시예의 이들 그리고 다른 양상은 이하의 번호가 매겨진 항목에 특정된다:
1. 비보안 네트워크 인프라스트럭처 상에서 보안 서비스 계층을 생성하기 위한 방법으로서,
원하는 IPSec 서비스와 관련된 서비스 요청을 수신하되, 서비스 요청 정보는 적어도 보호될 보안 네트워크의 식별을 포함하는 단계;
SEG(Secure Gateway)로서 이용하기 위한 바운더리 장치를 포함하는 적어도 하나의 라우팅 장치를 선택하는 단계;
바운더리 장치의 제 1 부분에서 보안 네트워크로부터의 보안 트래픽을 종료하기 위해 보안 네트워킹 서비스를 제공하는 단계;
바운더리 장치의 제 2 부분에서 비보안 네트워크로부터의 터널링된 공중 트래픽을 종료하기 위해 보안 네트워킹 서비스를 제공하는 단계; 및
보안 네트워크 트래픽 경로를 형성하기 위해 터널링된 트래픽 및 대응하는 보안 트래픽을 적절히 그룹화하도록 인터페이스를 생성하되, 각 그룹은 각각의 캡슐화 식별자와 관련되는 단계를 포함하는 방법.
2. 항목 1에 있어서,
보안 네트워크에 액세스하도록 인가된 비보안 네트워크 내에 하나 이상의 액세스 포인트를 선택하는 단계를 더 포함하는 방법.
3. 항목 2에 있어서, 비보안 네트워크 내의 다수의 액세스 포인트는 보안 네트워크에 액세스하도록 인가되며, 방법은
적절한 SEG와 액세스 포인트 각각을 관련시키는 단계; 및
대응하는 액세스 포인트로부터 터널링된 공중 트래픽을 종료하기 위해 각 SEG의 보안 네트워킹 서비스를 구성하는 단계를 더 포함하는 방법.
4. 항목 1에 있어서, 보안 네트워크로부터의 보안 트래픽을 종료하기 위한 상기 보안 네트워킹 서비스는 L3 VPN(Level 3 Virtual Private Network) 서비스를 포함하는 방법.
5. 항목 1에 있어서, 비보안 네트워크로부터 터널링된 트래픽을 종료하기 위한 상기 보안 네트워킹 서비스는 L3 VPN(Level 3 Virtual Private Network) 서비스, VPRN(Virtual Private Routed Network) 서비스 및 IES(Internet Enhanced Service) 서비스 중 하나를 포함하는 방법.
6. 항목 1에 있어서, 보안 네트워크로부터의 보안 트래픽을 종료하기 위한 상기 보안 네트워킹 서비스는 종료된 IPSec 터널과 L2(Level 2) VPN 보안 네트워크 사이에서 통신을 가능하는 방법.
7. 항목 1에 있어서, 상기 보안 서비스 계층은 IPSec 인프라스트럭처를 포함하며, 상기 터널링된 공중 트래픽은 IPSec 터널링된 트래픽을 포함하는 방법.
8. 항목 1에 있어서, 바운더리 장치를 포함하는 적어도 하나의 라우팅 장치를 선택하는 상기 단계는
보호될 보안 네트워크에 근접한 하나 이상의 라우터를 식별하는 단계; 및
비용, 고객에 대한 근접성, 서비스 제공자에 대한 근접성 및 이용 레벨의 기준 중 하나 이상에 따라 라우터 하나를 선택하는 단계를 포함하는 방법.
9. 항목 1에 있어서, 상기 생성된 IPSec 서비스 계층은 보안 네트워크에 복수의 사용자를 보안 접속하기 위한 서비스를 포함하며, 상기 방법은
사용자를 복수의 그룹으로 분할하는 단계; 및
각각의 액세스 포인트에 각 그룹과 관련된 트래픽을 전송하는 단계를 더 포함하는 방법.
10. 항목 9에 있어서, 상기 사용자 그룹은 사용자 위치에 따라 정의되는 방법.
11. 항목 10에 있어서, 사용자 그룹에 지리적으로 근접한 스위칭 요소에서 사용자 그룹과 관련된 트래픽을 집합시키는 단계를 더 포함하는 방법.
12. 항목 11에 있어서, 상기 집합된 트래픽은 비디오 서비스 트래픽을 포함하며, 상기 집합된 트래픽은 지리적으로 근접한 스위칭 요소와 비디오 서비스 제공자의 헤드 엔드 사이에서 전달되는 방법.
13. 항목 12에 있어서, 상기 비디오 서비스 제공자는 케이블 텔레비전 시스템, MSO, 전기통신 시스템 제공자 및 방송 네트워크 중 하나를 포함하는 방법.
14. 항목 1에 있어서, 상기 방법은 네트워크 서비스 제공자와 관련된 컴퓨터 내에서 인스턴스화되는 SCE(service creation engine)에 의해 실행되는 방법.
15. 항목 1에 있어서, 상기 방법은 네트워크 서비스 제공자의 NOC(network operations center) 내에서 인스턴스화되는 SCE(service creation engine)에 의해 실행되는 방법.
16. 항목 14에 있어서, 상기ㅣ 요청은 하나 이상의 식별된 액세스 포인트를 통해 이루어질 보안 접속 타입과 관련된 구성 정보를 포함하는 방법.
17. 항목 14에 있어서, 보안 접속 타입은 IPSec 터널을 포함하는 방법.
18. 항목 14에 있어서, 보안 네트워크는 보안 기업 네트워크, 보안 인트라넷, 단일 제3자 네트워크의 하나 이상의 부분, 및 다수의 제3자 네트워크의 하나 이상의 부분 중 적어도 하나를 포함하는 방법.
19. 항목 14에 있어서, 요청은 보안 네트워크와 보안 통신하는 하나 이상의 액세스 포인트와 관련된 정보를 식별하는 단계를 더 포함하는 방법.
20. 항목 19에 있어서, 상기 액세스 포인트 각각은 스위칭 장치, 라우터 및 보안 네트워크와 비보안 네트워크 사이의 브리지 중 적어도 하나를 포함하는 방법.
21. 항목 20에 있어서, 상기 비보안 네트워크 코어 네트워크 및 액세스 네트워크 중 하나를 포함하는 방법.
22. 항목 19에 있어서, 상기 액세스 포인트는 상기 보안 네트워크에서 상기 생성된 IPSec 서비스 계층으로부터의 IPSec 트래픽을 종료하도록 동작하는 IPSec 바운더리 장치를 포함하는 라우터를 포함하는 방법.
23. 항목 19에 있어서,
상기 생성된 IPSec 계층은 각각의 IPSec 터널을 통해 각 사용자로부터 상기 보안 네트워크의 각 액세스 포인트로 트래픽을 라우팅함으로써 상기 비보안 네트워크에 액세스하는 사용자들 사이로부터의 보안 트래픽을 지원하고;
상기 보안 네트워크에 대한 상이한 액세스 포인트를 갖는 사용자에 대해서는, 상기 사용자들 사이의 트래픽은 상기 보안 네트워크를 통해 상기 상이한 액세스 포인트들 사이에서 라우팅되며;
상기 보안 네트워크에 공통 액세스 포인트를 갖는 사용자에 대해서는 상기 사용자들 사이의 트래픽은 상기 공통 액세스 포인트를 통해 직접 라우팅되는 방법.
24. 항목 1에 있어서, 상기 생성된 IPSec 서비스 계층에 따라 하나 이상의 이동 서비스의 동작을 적응시킴으로써 원하는 IPSec 서비스를 프로비저닝하는 단계를 더 포함하는 방법.
25. 항목 1에 있어서, 상기 생성된 IPSec 서비스 계층 내에 포함된 이동 서비스와 관련된 경로를 지원하는 하나 이상의 전송 계층 요소의 동작을 적응시키는 단계를 더 포함하는 방법.
26. 항목 1에 있어서, 서비스 요청은 NOC(network operations center)에서 단일 형태로 진입되는 데이터를 통해 제공되는 방법.
27. 항목 26에 있어서, 서비스 요청은 고객에 의해 단일 형태 내에 포함된 데이터를 통해 제공되며, 고객과 관련된 SLA(service level agreement)로 적합성을 유효화하도록 서비스 요청을 검토하는 단계를 더 포함하는 방법.
28. 항목 1에 있어서, 상기 요청은 터널링된 트래픽 흐름과 관련된 신호 파라미터를 포함하는 터널 템플릿과 관련되는 방법.
29. 항목 28에 있어서, 상기 터널 템플릿은 터널링된 트래픽 흐름에 관한 정책을 더 포함하는 방법.
30. 항목 29에 있어서, 상기 정책은 특정 IP 어드레스와 대응하는 서비스 사이의 결합의 하나 이상을 포함하는 방법.
31. 항목 29에 있어서, 상기 정책은 IPSec 터널의 부분적인 이용을 제공하는 방법.
32. 항목 1에 있어서,
생성된 IPSec 서비스 내의 이동 서비스의 임의의 부분이 비관리 네트워크를 횡단하는지를 판단하는 단계; 및
상기 비관리 네트워크의 관리자를 향해, 상기 비관리 네트워크와 관련된 이동 서비스 부분을 통해 전달되는 생성된 IPSec 서비스를 유효화하기 위한 요청을 전송하는 단계를 더 포함하는 방법.
33. 항목 1에 있어서, 비관리 네트워크의 관리자를 향해, 상기 비관리 네트워크를 횡단하는 상기 생성된 IPSec 서비스 내에서 하나 이상의 이동 서비스 부분에 대한 지원을 유효화하기 위한 요청을 전송하는 단계를 더 포함하는 방법.
34. 항목 33에 있어서,
이동 서비스 부분에 대한 상기 비관리 네트워크에 의한 지원의 부족을 나타내는 메시지에 응답하여, 상기 비관리 네트워크의 상기 관리자를 향해, 상기 이동 서비스 부분을 위한 지원을 제공하도록 상기 이동 서비스 부분의 프로비저닝을 적응시키기 위한 요청을 전송하는 단계를 더 포함하는 방법.
35. 항목 1에 있어서, 그 각각의 전송 계층 인프라스트럭처에 각 경로를 상관시키는 데이터는 발견 프로세스 동안 초기에 생성되는 데이터베이스에 저장되는 방법.
36. 항목 6에 있어서, 상기 데이터베이스는 기초적인 전송 계층 구조와 관련된 경로 구조를 반복적으로 상관시키며 이 상관의 결과를 저장하는 단계에 따라 생성되는 방법.
37. 항목 1에 있어서, 비보안 네트워크는 LTE 네트워크를 포함하며, 방법은
하나 이상의 식별된 액세스 포인트와 관련된 IES 및 VPRN 서비스를 식별하되, 각 이동 서비스는 적어도 하나의 경로를 포함하며, 각 경로는 상기 비보안 네트워크 내에서 전송 계층 인프라스트럭처에 의해 지원되는 단계; 및
상기 이동 서비스 중 하나 이상을 이용하여 IPSec 서비스 계층을 생성하는 단계를 더 포함하는 방법.
38. 프로세서에 의해 실행될 때, 비보안 네트워크 인프라스트럭처 상에서 보안 서비스 계층을 생성하기 위한 방법을 수행하는 소프트웨어 명령어를 포함한 컴퓨터 판독가능 매체로서, 방법은
원하는 IPSec 서비스와 관련된 서비스 요청을 수신하되, 서비스 요청 정보는 적어도 보호될 보안 네트워크의 식별을 포함하는 단계;
SEG(Secure Gateway)로서 이용하기 위한 바운더리 장치를 포함하는 적어도 하나의 라우팅 장치를 선택하는 단계;
바운더리 장치의 제 1 부분에서 보안 네트워크로부터의 보안 트래픽을 종료하기 위해 보안 네트워킹 서비스를 제공하는 단계;
바운더리 장치의 제 2 부분에서 비보안 네트워크로부터의 터널링된 공중 트래픽을 종료하기 위해 보안 네트워킹 서비스를 제공하는 단계; 및
보안 네트워크 트래픽 경로를 형성하기 위해 터널링된 트래픽 및 대응하는 보안 트래픽을 적절히 그룹화하도록 인터페이스를 생성하되, 각 그룹은 각각의 캡슐화 식별자와 관련되는 단계를 포함하는 컴퓨터 판독가능 매체.
39. 컴퓨터가 비보안 네트워크 인프라스트럭처 상에서 보안 서비스 계층을 생성하기 위한 방법을 수행하도록 컴퓨터의 동작을 적응시키는 소프트웨어 명령어를 처리하기 위해 컴퓨터가 동작하는 컴퓨터 프로그램 제품으로서,
원하는 IPSec 서비스와 관련된 서비스 요청을 수신하되, 서비스 요청 정보는 보호될 보안 네트워크의 식별을 적어도 포함하는 것;
SEG(Secure Gateway)로서 이용을 위한 바운더리 장치를 포함하는 적어도 하나의 라우팅 장치를 선택하는 것;
바운더리 장치의 제 1 부분에서 보안 네트워크로부터의 보안 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하는 것;
바운더리 장치의 제 2 부분에서 비보안 네트워크로부터의 터널링된 공중 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하는 것; 및
보안 네트워크 트래픽 경로를 형성하기 위해 터널링된 트래픽 및 대응하는 보안 트래픽을 적절히 그룹화하도록 인터페이스를 생성하되, 각 그룹은 각각의 캡슐화 식별자와 관련되는 것을 포함하는 컴퓨터 프로그램 제품.
40. 비보안 네트워크와 관련된 트래픽을 수락하는 제 1 복수의 포트;
보안 네트워크와 관련된 트래픽을 수락하는 제 2 복수의 포트; 및
제 1 부분에서 보안 네트워크로부터의 보안 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하도록 적응되고, 제 2 부분에서 비보안 네트워크로부터의 터널링된 공중 트래픽을 종료하기 위한 보안 네트워킹 서비스에 적응되며, 보안 네트워크 트래픽 경로를 형성하기 위해 터널링된 트래픽 및 대응하는 보안 트래픽을 적절히 그룹화하도록 인터페이스를 생성하되, 각 그룹은 각각의 캡슐화 식별자와 관련되는 바운더리 장치를 포함하는 SEG(Secure Gateway).
본 발명의 교시를 통합하는 다양한 실시예가 여기서 상세히 도시 및 설명되었지만, 당업자는 이 교시를 여전히 통합하는 다수의 다른 변경된 실시예를 쉽게 고안할 수 있다.

Claims (10)

  1. 비보안 네트워크 인프라스트럭처 상에서 보안 서비스 계층을 생성하기 위한 방법으로서,
    원하는 IPSec 서비스와 관련된 서비스 요청을 수신하는 단계―상기 서비스 요청의 정보는 보호될 보안 네트워크의 식별자를 적어도 포함함―와,
    보안 게이트웨이(Secure Gateway;SEG)로서 이용하기 위한 바운더리 장치를 포함하는 적어도 하나의 라우팅 장치를 선택하는 단계와,
    상기 바운더리 장치의 제 1 부분에서 상기 보안 네트워크로부터의 보안 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하는 단계와,
    상기 바운더리 장치의 제 2 부분에서 비보안 네트워크로부터의 터널링된 공중 트래픽(tunneled public traffic)을 종료하기 위한 보안 네트워킹 서비스를 제공하는 단계와,
    보안 네트워크 트래픽 경로를 형성하기 위해 터널링된 트래픽 및 대응하는 보안 트래픽을 적합하게 그룹화하도록 인터페이스를 생성하는 단계―각 그룹은 각각의 캡슐화 식별자와 관련됨―를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 보안 네트워크에 액세스하도록 승인된 상기 비보안 네트워크 내의 다수의 액세스 포인트를 선택하는 단계와,
    상기 액세스 포인트 각각을 적합한 SEG와 관련시키는 단계와,
    대응하는 액세스 포인트로부터 터널링된 공중 트래픽을 종료하기 위한 각 SEG의 상기 보안 네트워킹 서비스를 구성하는 단계를 더 포함하는
    방법.
  3. 제 1 항에 있어서,
    상기 비보안 네트워크로부터의 터널링된 트래픽을 종료하기 위한 상기 보안 네트워킹 서비스는 L3 VPN(Level 3 Virtual Private Network) 서비스, VPRN(Virtual Private Routed Network) 서비스 및 IES(Internet Enhanced Service) 서비스 중 하나를 포함하는
    방법.
  4. 제 1 항에 있어서,
    상기 바운더리 장치를 포함하는 상기 적어도 하나의 라우팅 장치를 선택하는 단계는
    보호될 상기 보안 네트워크에 근접한 하나 이상의 라우터를 식별하는 단계와,
    비용, 고객에 대한 근접성, 서비스 제공자에 대한 근접성 및 이용 레벨의 기준 중 하나 이상에 따라 상기 라우터 중 하나를 선택하는 단계를 포함하는
    방법.
  5. 제 1 항에 있어서,
    상기 생성된 IPSec 서비스 계층은 상기 보안 네트워크에 복수의 사용자를 보안 접속하기 위한 서비스를 포함하고, 상기 방법은
    상기 사용자를 사용자 위치에 따라 정의된 복수의 그룹으로 분할하는 단계와,
    각각 지리적으로 근접한 스위칭 요소에서 사용자 그룹 각각과 관련된 트래픽을 집합시키는 단계를 더 포함하며,
    상기 집합된 트래픽은 비디오 서비스 트래픽을 포함하고, 상기 집합된 트래픽은 상기 지리적으로 근접한 스위칭 요소와 비디오 서비스 제공자의 헤드엔드(head-end) 사이에서 전달되며,
    상기 비디오 서비스 제공자는 케이블 텔레비전 시스템, MSO, 전기통신 시스템 제공자 및 방송 네트워크 중 하나를 포함하는
    방법.
  6. 제 1 항에 있어서,
    상기 방법은 네트워크 서비스 제공자의 NOC(network operations center)와 관련된 컴퓨터 내에서 인스턴스화되는 SCE(service creation engine)에 의해 실행되며, 상기 서비스 요청은 단일 형태로 진입되는 데이터를 통해 제공되는
    방법.
  7. 제 1 항에 있어서,
    상기 보안 네트워크는 보안 기업 네트워크, 보안 인트라넷, 단일 제3자 네트워크의 하나 이상의 부분, 및 다수의 제3자 네트워크의 하나 이상의 부분 중 적어도 하나를 포함하는
    방법.
  8. 제 1 항에 있어서,
    상기 요청은 터널링된 트래픽 흐름과 관련된 신호 파라미터 및 정책을 포함하는 터널 템플릿과 관련되며, 상기 정책은 특정 IP 어드레스와 대응하는 서비스 사이의 관련성(association)을 포함하는
    방법.
  9. 프로세서에 의해 실행될 때, 비보안 네트워크 인프라스트럭처 상에서 보안 서비스 계층을 생성하기 위한 방법을 수행하는 소프트웨어 명령어를 포함하는 컴퓨터 판독가능 매체로서, 상기 방법은
    원하는 IPSec 서비스와 관련된 서비스 요청을 수신하는 단계―상기 서비스 요청의 정보는 보호될 보안 네트워크의 식별자를 적어도 포함함―와,
    보안 게이트웨이(Secure Gateway;SEG)로서 이용하기 위한 바운더리 장치를 포함하는 적어도 하나의 라우팅 장치를 선택하는 단계와,
    상기 바운더리 장치의 제 1 부분에서 상기 보안 네트워크로부터의 보안 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하는 단계와,
    상기 바운더리 장치의 제 2 부분에서 비보안 네트워크로부터의 터널링된 공중 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하는 단계와,
    보안 네트워크 트래픽 경로를 형성하기 위해 터널링된 트래픽 및 종료된 대응 보안 트래픽을 적합하게 그룹화하도록 인터페이스를 생성하는 단계―각 그룹은 각각의 캡슐화 식별자와 관련됨―를 포함하는
    컴퓨터 판독가능 매체.
  10. 비보안 네트워크와 관련된 트래픽을 수용하는 제 1 복수의 포트와,
    보안 네트워크와 관련된 트래픽을 수용하는 제 2 복수의 포트와,
    제 1 부분에서 상기 보안 네트워크로부터의 보안 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하고, 제 2 부분에서 상기 비보안 네트워크로부터의 터널링된 공중 트래픽을 종료하기 위한 보안 네트워킹 서비스를 제공하며, 보안 네트워크 트래픽 경로를 형성하기 위해 터널링된 트래픽 및 대응하는 보안 트래픽을 적합하게 그룹화하도록 인터페이스를 생성하도록 구성된 바운더리 장치를 포함하며, 각 그룹은 각각의 캡슐화 식별자와 관련되는
    보안 게이트웨이(Secure Gateway;SEG).
KR1020127024140A 2010-03-16 2011-03-16 보안 인프라스트럭처를 제공하는 방법, 시스템 및 장치 KR101445468B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US31444810P 2010-03-16 2010-03-16
US61/314,448 2010-03-16
US13/047,859 US20110231654A1 (en) 2010-03-16 2011-03-15 Method, system and apparatus providing secure infrastructure
US13/047,859 2011-03-15
PCT/US2011/028658 WO2011116089A1 (en) 2010-03-16 2011-03-16 Method, system and apparatus providing secure infrastructure

Publications (2)

Publication Number Publication Date
KR20120123558A true KR20120123558A (ko) 2012-11-08
KR101445468B1 KR101445468B1 (ko) 2014-09-26

Family

ID=44648150

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127024140A KR101445468B1 (ko) 2010-03-16 2011-03-16 보안 인프라스트럭처를 제공하는 방법, 시스템 및 장치

Country Status (6)

Country Link
US (1) US20110231654A1 (ko)
EP (1) EP2548356A1 (ko)
JP (1) JP5707481B2 (ko)
KR (1) KR101445468B1 (ko)
CN (1) CN103098432A (ko)
WO (1) WO2011116089A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180104376A (ko) * 2017-03-13 2018-09-21 한국전자통신연구원 소프트웨어 정의 네트워크에서 보안 기능을 지원하는 방법 및 이를 위한 네트워크 장치 및 소프트웨어 정의 컨트롤러

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8953443B2 (en) * 2011-06-01 2015-02-10 At&T Intellectual Property I, L.P. Method and apparatus for providing congestion management for a wireless communication network
US10015083B2 (en) 2011-12-22 2018-07-03 Amazon Technologies, Inc. Interfaces to manage inter-region connectivity for direct network peerings
EP4009606B1 (en) * 2011-11-29 2023-09-20 Amazon Technologies, Inc. Interfaces to manage direct network peerings
US8724642B2 (en) 2011-11-29 2014-05-13 Amazon Technologies, Inc. Interfaces to manage direct network peerings
WO2013126638A1 (en) * 2012-02-24 2013-08-29 Interdigital Patent Holdings, Inc. Methods, apparatus and methods for mobile cloud bursting
WO2013191461A1 (ko) * 2012-06-19 2013-12-27 엘지전자 주식회사 복수의 무선접속 기술을 지원 가능한 단말이 위치 갱신을 수행하는 방법
BR112014032565A2 (pt) 2012-06-29 2017-06-27 Nec Corp otimização de entrega de disparador de dispositivo de mtc
US9270692B2 (en) * 2012-11-06 2016-02-23 Mediatek Inc. Method and apparatus for setting secure connection in wireless communications system
US9871766B2 (en) * 2013-03-15 2018-01-16 Hewlett Packard Enterprise Development Lp Secure path determination between devices
WO2015003751A1 (en) * 2013-07-12 2015-01-15 Telefonaktiebolaget L M Ericsson (Publ) A node and method for private mobile radio services
DE102013220246A1 (de) * 2013-07-24 2015-01-29 Rohde & Schwarz Sit Gmbh Verfahren und System zur manipulationssicheren Übertragung von Datenpaketen
US9794244B2 (en) * 2013-08-06 2017-10-17 Nec Corporation Method for operating a network and a network
TWI521496B (zh) * 2014-02-11 2016-02-11 聯詠科技股份有限公司 緩衝電路、面板模組及顯示驅動方法
US10217145B1 (en) 2014-02-18 2019-02-26 Amazon Technologies, Inc. Partitioned private interconnects to provider networks
CN104113544B (zh) * 2014-07-18 2017-10-31 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统
KR102030520B1 (ko) 2015-01-13 2019-10-10 후지쯔 가부시끼가이샤 무선 통신 시스템, 제어국 및 단말기
US10320753B1 (en) * 2015-11-19 2019-06-11 Anonyome Labs, Inc. Method and system for providing persona masking in a computer network
CN109462847B (zh) 2017-07-28 2019-08-02 华为技术有限公司 安全实现方法、相关装置以及系统
WO2019043827A1 (ja) * 2017-08-30 2019-03-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 ネットワーク制御装置、通信システム、ネットワーク制御方法、プログラム、及び記録媒体
CN107911212A (zh) * 2017-11-09 2018-04-13 安徽皖通邮电股份有限公司 一种桥接传输加密的方法
EP3565195A1 (en) * 2018-04-30 2019-11-06 Hewlett-Packard Enterprise Development LP Internet protocol security messages for subnetworks
JP7115497B2 (ja) * 2020-03-16 2022-08-09 富士通株式会社 無線通信システムおよび基地局
CN113660126B (zh) * 2021-08-18 2024-04-12 奇安信科技集团股份有限公司 一种组网文件生成方法、组网方法以及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7174564B1 (en) * 1999-09-03 2007-02-06 Intel Corporation Secure wireless local area network
US6986061B1 (en) * 2000-11-20 2006-01-10 International Business Machines Corporation Integrated system for network layer security and fine-grained identity-based access control
US7673133B2 (en) * 2000-12-20 2010-03-02 Intellisync Corporation Virtual private network between computing network and remote device
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US20040148439A1 (en) * 2003-01-14 2004-07-29 Motorola, Inc. Apparatus and method for peer to peer network connectivty
CA2467945A1 (en) * 2004-05-20 2005-11-20 Fernando Cuervo Open service discovery and routing mechanism for configuring cross-domain telecommunication services
US7676838B2 (en) * 2004-07-26 2010-03-09 Alcatel Lucent Secure communication methods and systems
US8286002B2 (en) * 2005-12-02 2012-10-09 Alcatel Lucent Method and apparatus for providing secure remote access to enterprise networks
JP4154615B2 (ja) * 2005-12-08 2008-09-24 日本電気株式会社 Sipサーバ共有モジュール装置、sipメッセージ中継方法、及びプログラム
US20090328192A1 (en) * 2006-08-02 2009-12-31 Alan Yang Policy based VPN configuration for firewall/VPN security gateway appliance
US7921187B2 (en) * 2007-06-28 2011-04-05 Apple Inc. Newsreader for mobile device
US7992201B2 (en) * 2007-07-26 2011-08-02 International Business Machines Corporation Dynamic network tunnel endpoint selection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180104376A (ko) * 2017-03-13 2018-09-21 한국전자통신연구원 소프트웨어 정의 네트워크에서 보안 기능을 지원하는 방법 및 이를 위한 네트워크 장치 및 소프트웨어 정의 컨트롤러

Also Published As

Publication number Publication date
KR101445468B1 (ko) 2014-09-26
JP5707481B2 (ja) 2015-04-30
WO2011116089A1 (en) 2011-09-22
EP2548356A1 (en) 2013-01-23
US20110231654A1 (en) 2011-09-22
JP2013523021A (ja) 2013-06-13
CN103098432A (zh) 2013-05-08

Similar Documents

Publication Publication Date Title
KR101445468B1 (ko) 보안 인프라스트럭처를 제공하는 방법, 시스템 및 장치
US8493870B2 (en) Method and apparatus for tracing mobile sessions
US8868029B2 (en) Method and apparatus for managing mobile resource usage
US10122829B2 (en) System and method for providing a control plane for quality of service
US8767584B2 (en) Method and apparatus for analyzing mobile services delivery
CN107852365B (zh) 用于动态vpn策略模型的方法和装置
US8861494B2 (en) Self-organizing communication networks
US8559336B2 (en) Method and apparatus for hint-based discovery of path supporting infrastructure
US8542576B2 (en) Method and apparatus for auditing 4G mobility networks
US11201799B2 (en) Intelligent selection of vantage points for monitoring subservices based on potential impact to services
CA3029862C (en) System and method for providing a control plane for quality of service
US11943101B2 (en) Joint orchestration for private mobile network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee