RU2710879C1 - Контейнеры пользовательского оборудования и сетевые срезы - Google Patents

Контейнеры пользовательского оборудования и сетевые срезы Download PDF

Info

Publication number
RU2710879C1
RU2710879C1 RU2018140079A RU2018140079A RU2710879C1 RU 2710879 C1 RU2710879 C1 RU 2710879C1 RU 2018140079 A RU2018140079 A RU 2018140079A RU 2018140079 A RU2018140079 A RU 2018140079A RU 2710879 C1 RU2710879 C1 RU 2710879C1
Authority
RU
Russia
Prior art keywords
container
network slice
containers
applications
network
Prior art date
Application number
RU2018140079A
Other languages
English (en)
Inventor
Бранко ДЖОРДЖЕВИЧ
Ральф КЕЛЛЕР
Original Assignee
Телефонактиеболагет Лм Эрикссон (Пабл)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Телефонактиеболагет Лм Эрикссон (Пабл) filed Critical Телефонактиеболагет Лм Эрикссон (Пабл)
Application granted granted Critical
Publication of RU2710879C1 publication Critical patent/RU2710879C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/289Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements

Abstract

Изобретение относится к области связи. Технический результат – обеспечение изоляции между приложениями в разных контейнерах, так что приложения в одном контейнере не могут взаимодействовать с приложениями в другом контейнере. Для этого устройство (405) для администрирования контейнеров содержит: среду контейнеров, содержащую множество контейнеров, каждый из которых содержит одно или несколько приложений, и отличающуюся тем, что: каждый контейнер ассоциирован точно с одним сетевым срезом, уникально идентифицирующим данную ассоциацию; и администратор контейнеров, сконфигурированный для управления связью между приложениями и сетевыми срезами, при этом администратор контейнеров запрещает связь между первым приложением в первом контейнере и вторым приложением во втором контейнере. 3 н. и 34 з.п. ф-лы, 11 ил.

Description

ПЕРЕКРЕСТНАЯ ССЫЛКА НА РОДСТВЕННЫЕ ЗАЯВКИ
[0001] Настоящая заявка испрашивает приоритет предварительной патентной заявки США № 62/323,349, поданной 15 апреля 2016, которая включена в настоящий документ посредством ссылки во всей своей полноте.
ОБЛАСТЬ ТЕХНИКИ
[0002] Раскрытый предмет, в общем, относится к телекоммуникации. Некоторые варианты осуществления относятся, в частности, к концепциям, таким как сетевые срезы, контейнеры и пользовательское оборудование (ʺUEʺ).
УРОВЕНЬ ТЕХНИКИ
[0003] Сетевой срез (сегмент, слайс, slice) представляет собой логическую сеть, которая обычно обслуживает определенную бизнес-функцию или потребителя. Сетевой срез может принимать форму, например, части сети или подсети. Сетевой срез обычно содержит набор требуемых сетевых ресурсов, которые сконфигурированы вместе. Например, ресурсы плоскости управления и пользовательской плоскости являются частью сетевого среза.
[0004] Сетевой срез может в некоторых контекстах создаваться, изменяться или модифицироваться функциями управления. Такие функции могут быть реализованы, например, посредством управления мобильностью, управления сеансом, управления идентичностью, управления доступом. Кроме того, сетевой срез обычно реализован сквозным образом (ʺиз конца в конецʺ) в рамках провайдера. Это означает, что все сетевые объекты, требуемые для сквозной связи между сетью радиодоступа (RAN) и шлюзами к другим сетям, являются частью среза (или совместно используются среди множества срезов, например, один экземпляр AMF может использоваться для множества срезов одним и тем же UE).
[0005] Сетевой срез, как правило, действует как активатор услуг, а не сама услуга. Например, срез может активировать мобильную широкополосную или голосовую услугу, но контент, доступ к которому осуществляется в рамках мобильной широкополосной услуги, или любой сервер мультимедийной подсистемы Интернет-протокола (IP) (IMS), необходимый для голосовой услуги, не являются частью сетевого среза. Ресурсы сетевого среза могут быть физическими или виртуальными, и они могут быть выделенными или совместно используемыми. Например, части узла RAN требуют аппаратных средств (подобных антеннам), а другие части могут быть реализованы как программное обеспечение в виртуализированной среде, и они могут совместно использоваться множеством устройств и для множества срезов. Другие примеры включают в себя функции базовой сети, такие как функции пользовательской плоскости (UPF), которые могут быть реализованы в виртуализированной среде и реализуются только для конкретного среза. Сетевой срез обычно является логически независимым или изолированным от других сетевых срезов, хотя различные сетевые слои могут совместно использовать сетевые ресурсы. Кроме того, сетевой срез может интегрировать услуги от провайдеров иных, чем те, которые управляют сетевым срезом, что может облегчить, например, агрегирование и роуминг.
[0006] На фиг. 1 показана примерная система 100, в которой сеть 105 связи предоставляет услуги/продукты 110 пользователям (например, компаниям, потребителям и т.д.) через сетевые срезы 125.
[0007] Как показано на фиг. 1, сеть 105 связи содержит ресурсы/компоненты 115, сетевые срезы 125 и администрирование 120 сетевых срезов. В этом примере, ресурсы/компоненты 115 могут содержать, например, ресурсы доступа, транспортные ресурсы, облачные ресурсы, сетевые функции и сетевое администрирование. Ресурсы/компоненты 115 используются сетевыми срезами 125, под управлением администрирования 120 сетевых срезов, чтобы предоставлять услуги/продукты 110 пользователям. В этом примере, услуги/продукты 110 могут содержать, например, логическую мобильную широкополосную (MBB) сеть, логическую сеть предприятия или логическую мобильную сеть данных (MDN). Использование сетевых срезов 125 позволяет предоставлять различные услуги/продукты различным пользователям изолированным образом, что означает, что эти услуги/продукты могут быть адаптированы для удовлетворения конкретных потребностей этих пользователей.
КРАТКОЕ ОПИСАНИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ
[0008] В некоторых вариантах осуществления раскрытого предмета, устройство содержит среду контейнера, содержащую множество контейнеров, каждый из которых содержит одно или несколько приложений и каждый из которых выполнен с возможностью соединения с сетевым срезом, и администратор контейнеров, сконфигурированный для управления связью между приложениями и сетевыми срезами, причем администратор контейнеров запрещает связь между первым приложением в первом контейнере и вторым приложением во втором контейнере.
[0009] В некоторых связанных вариантах осуществления, устройство дополнительно содержит ресурсы устройства, причем администратор контейнеров управляет доступом приложений к ресурсам устройства.
[0010] В некоторых связанных вариантах осуществления, приложения в различных контейнерах совместно используют ресурсы устройства.
[0011] В некоторых связанных вариантах осуществления, каждый контейнер ассоциирован точно с одним сетевым срезом в данный момент времени. В некоторых таких вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование выделенного имени точки доступа (APN) для сетевого среза. В некоторых других таких вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование зашифрованной связи между контейнером и сетевым срезом посредством совместно используемого имени точки доступа (APN). В других таких вариантах осуществления ассоциация между контейнером и сетевым срезом содержит использование туннелирования между контейнером и сетевым срезом.
[0012] В некоторых связанных вариантах осуществления каждый контейнер использует свой собственный электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации. В некоторых других связанных вариантах осуществления, по меньшей мере два из контейнеров используют один и тот же электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
[0013] В некоторых связанных вариантах осуществления по меньшей мере два из сетевых срезов обслуживаются одним и тем же оператором.
[0014] В некоторых связанных вариантах осуществления, по меньшей мере один из сетевых срезов соответствует виртуальному оператору.
[0015] В некоторых связанных вариантах осуществления, администратор контейнеров определяет правила по каждому контейнеру и управляет связью между контейнерами таким образом, что связь разрешается между приложениями в одном и том же контейнере и запрещается между приложениями в различных контейнерах.
[0016] В некоторых связанных вариантах осуществления, устройство дополнительно содержит ресурсы устройства, причем каждый из контейнеров имеет политику конфигурации контейнера, которая управляет доступом контейнера к ресурсам устройства.
[0017] В некоторых связанных вариантах осуществления, контейнеры работают параллельно.
[0018] В некоторых связанных вариантах осуществления, устройство дополнительно содержит операционную систему устройства и множество операционных систем контейнеров, каждая из которых ассоциирована с соответствующим контейнером из множества контейнеров.
[0019] В некоторых связанных вариантах осуществления, администратор контейнеров содержит регистр, содержащий информацию, которая идентифицирует ассоциацию между контейнерами и сетевыми срезами, интерфейсы к контейнерам и сетевым срезам, и память, хранящую кодированные инструкции, которые, при исполнении процессором управления контейнером, предписывают администратору контейнеров принимать декларацию (манифест) для контейнера через интерфейс сетевого среза, генерировать по меньшей мере один контейнер, как определено декларацией, генерировать набор правил для сгенерированного контейнера в соответствии с ограничениями в декларации, устанавливать соединение между сгенерированным контейнером и соответствующим сетевым срезом и управлять связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил.
[0020] В некоторых связанных вариантах осуществления, инструкции предписывают администратору контейнеров сохранять декларацию в регистре среза контейнера вместе со сгенерированным набором правил.
[0021] В некоторых связанных вариантах осуществления, инструкции предписывают администратору контейнеров поддерживать указатель фокуса контейнера, указывающий запись в регистре среза контейнера, на основе фокуса, предоставленного оператором/пользователем, и присваивать приоритет указанной записи при оценивании набора правил.
[0022] В некоторых вариантах осуществления раскрытого предмета, предложен способ для управления контейнерами в устройстве, содержащем среду контейнеров и администратор контейнеров, среда контейнеров содержит множество контейнеров, каждый из которых содержит одно или несколько приложений, причем каждый контейнер имеет возможность соединения с сетевым срезом. Способ содержит прием декларации для контейнера через интерфейс сетевого среза, генерацию контейнера в соответствии с декларацией, генерацию набора правил для сгенерированного контейнера в соответствии с ограничениями в декларации, установление соединения между сгенерированным контейнером и соответствующим сетевым срезом и управление связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил.
[0023] В некоторых связанных вариантах осуществления, способ дополнительно содержит сохранение декларации в регистре среза контейнера.
[0024] В некоторых связанных вариантах осуществления, способ дополнительно содержит поддержание указателя фокуса контейнера, указывающего запись в регистре среза контейнера, на основе фокуса, предоставленного оператором/пользователем, и присвоение приоритета указанной записи при оценивании набора правил.
[0025] В некоторых вариантах осуществления раскрытого предмета, способ эксплуатации устройства связи содержит обеспечение среды контейнеров, содержащей множество контейнеров, каждый из которых содержит одно или несколько приложений и каждый из которых выполнен с возможностью соединения с сетевым срезом, и эксплуатацию администратора контейнеров, чтобы управлять связью между приложениями и сетевыми срезами, причем администратор контейнеров запрещает связь между первым приложением в первом контейнере и вторым приложением во втором контейнере.
[0026] В некоторых связанных вариантах осуществления, устройство связи дополнительно содержит ресурсы устройства, и способ дополнительно содержит эксплуатацию администратора контейнеров, чтобы управлять доступом приложений к ресурсам устройства.
[0027] В некоторых связанных вариантах осуществления, приложения в различных контейнерах совместно используют ресурсы устройства.
[0028] В некоторых связанных вариантах осуществления, каждый контейнер ассоциирован точно с одним сетевым срезом в данный момент времени.
[0029] В некоторых связанных вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование выделенного имени точки доступа (APN) для сетевого среза.
[0030] В некоторых связанных вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование зашифрованной связи между контейнером и сетевым срезом посредством совместно используемого имени точки доступа (APN).
[0031] В некоторых связанных вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование туннелирования между контейнером и сетевым срезом.
[0032] В некоторых связанных вариантах осуществления, каждый контейнер использует свой собственный электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации. В некоторых других связанных вариантах осуществления, по меньшей мере два из контейнеров используют один и тот же электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
[0033] В некоторых связанных вариантах осуществления, по меньшей мере два из сетевых срезов обслуживаются одним и тем же оператором. В некоторых других связанных вариантах осуществления, по меньшей мере один из сетевых срезов соответствует виртуальному оператору.
[0034] В некоторых связанных вариантах осуществления, администратор контейнеров определяет правила по каждому контейнеру и управляет связью между контейнерами таким образом, что связь разрешается между приложениями в одном и том же контейнере и запрещается между приложениями в различных контейнерах.
[0035] В некоторых связанных вариантах осуществления, беспроводное устройство дополнительно содержит ресурсы устройства, причем каждый из контейнеров имеет политику конфигурации контейнера, которая управляет доступом контейнера к ресурсам устройства.
[0036] В некоторых связанных вариантах осуществления, контейнеры работают параллельно.
[0037] В некоторых связанных вариантах осуществления, способ дополнительно содержит прием декларации для контейнера через интерфейс сетевого среза, генерацию по меньшей мере одного контейнера, как определено декларацией, генерацию набора правил для сгенерированного контейнера в соответствии с ограничениями в декларации, установление соединения между сгенерированным контейнером и соответствующим сетевым срезом и управление связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил. В некоторых таких вариантах осуществления, способ дополнительно содержит сохранение декларации в регистре среза контейнера вместе со сгенерированным набором правил. В некоторых таких вариантах осуществления, способ дополнительно содержит поддержание указателя фокуса контейнера, указывающего запись в регистре среза контейнера, на основе фокуса, предоставленного оператором/пользователем, и присвоение приоритета указанной записи при оценивании набора правил.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0038] Чертежи иллюстрируют выбранные варианты осуществления раскрытого предмета. На чертежах одинаковые ссылочные позиции обозначают одинаковые признаки.
[0039] Фиг. 1 иллюстрирует систему, содержащую множество сетевых срезов.
[0040] Фиг. 2 иллюстрирует систему, содержащую устройство с множеством контейнеров и сеть с множеством сетевых срезов, в соответствии с вариантом осуществления раскрытого предмета.
[0041] Фиг. 3 иллюстрирует систему, содержащую устройство с множеством контейнеров и сеть с множеством сетевых срезов, в соответствии с другим вариантом осуществления раскрытого предмета.
[0042] Фиг. 4 иллюстрирует систему, содержащую устройство с множеством контейнеров и сеть с множеством сетевых срезов, в соответствии с еще одним вариантом осуществления раскрытого предмета.
[0043] Фиг. 5 иллюстрирует систему, содержащую устройство с множеством контейнеров и сеть с множеством сетевых срезов, в соответствии с еще одним вариантом осуществления раскрытого предмета.
[0044] Фиг. 6 иллюстрирует систему, сконфигурированную для выполнения защищенной связи среза в соответствии с вариантом осуществления раскрытого предмета.
[0045] Фиг. 7 иллюстрирует устройство в соответствии с вариантом осуществления раскрытого предмета.
[0046] Фиг. 8 иллюстрирует устройство с блоком администрирования контейнера в соответствии с вариантом осуществления раскрытого предмета.
[0047] Фиг. 9 иллюстрирует устройство с регистром контейнера/декларации в соответствии с вариантом осуществления раскрытого предмета.
[0048] Фиг. 10 иллюстрирует способ эксплуатации устройства, содержащего среду контейнеров и администратор контейнеров, в соответствии с вариантом осуществления раскрытого предмета.
[0049] Фиг. 11 иллюстрирует способ администрирования контейнеров в устройстве, содержащем среду контейнеров и администратор контейнеров, согласно варианту осуществления раскрытого предмета изобретения
ПОДРОБНОЕ ОПИСАНИЕ
[0050] В следующем описании представлены различные варианты осуществления раскрытого предмета изобретения. Эти варианты осуществления представлены в качестве обучающих примеров и не должны рассматриваться как ограничивающие объем раскрытого предмета изобретения. Например, некоторые подробности описанных вариантов осуществления могут быть изменены, опущены или расширены без отклонения от объема раскрытого предмета изобретения.
[0051] Некоторые варианты осуществления представлены в свете распознавания недостатков, ассоциированных с обычными методами и технологиями, такими как следующие примеры. В обычных системах, конкретное устройство использует один сетевой срез. Однако могут существовать приложения, выполняющиеся на устройстве, которое обслуживает различные бизнес-цели. Эти случаи использования не являются ни четко разделенными на устройстве, ни ассоциированными с конкретными сетевыми срезами, так что каждое приложение должно защищать себя, и нет механизма для назначения приложения конкретному срезу и для обеспечения того, что только приложения, принадлежащие к одному и тому же срезу, используют те же самые возможности и имеют доступ к тем же данным. Это может создавать проблемы безопасности для предприятий.
[0052] Некоторые варианты осуществления могут также обеспечивать преимущества по сравнению с обычными методами и технологиями, такими как следующие примеры. Во-первых, некоторые варианты осуществления могут улучшить безопасность, например, с использованием контейнеров для предотвращения распространения вредоносных программ и/или повышения устойчивости по отношению к вредоносным приложениям. Во-вторых, некоторые варианты осуществления могут улучшить конфиденциальность посредством, например, обслуживания частных и бизнес-приложений в отдельных контейнерах и/или использования различных наборов правил для различных контейнеров для ограничения возможностей приложения (например, отсутствие регистрации пользовательских данных, отсутствие регистрации вызова или адресной книги для torch-light-приложений и т.д.). В-третьих, некоторые варианты осуществления могут обеспечивать улучшенную возможность удовлетворения соглашениям уровня обслуживания (SLA), например, посредством коррелирования контейнеров UE с сетевыми срезами, может быть достигнуто гарантированные показатели трафика (например, ключевые показатели эффективности обслуживания системы [S-KPI]).
[0053] В некоторых вариантах осуществления, описанных ниже, устройство содержит множество контейнеров, каждый из которых ассоциирован с сетевым срезом и однозначно идентифицирует ассоциацию. Устройство предотвращает связь между приложениями, которые помещены в один контейнер, с приложениями в других контейнерах.
[0054] Каждый контейнер обычно ассоциирован точно с одним сетевым срезом в данный момент времени. Эта ассоциация может быть реализована, например, с использованием выделенного имени точки доступа (APN) для сетевого среза или посредством зашифрованной связи через совместно используемое APN, такое как Интернет-APN или типы туннелирования иные, чем безопасность Интернет-протокола (IPsec), от каждого контейнера на устройстве в направлении к сетевому срезу и через него.
[0055] Некоторые варианты осуществления могут включать в себя комбинацию описанных признаков, такую как использование выделенного сетевого среза, если поддерживается гостевой сетью, и использование в качестве ʺрезервнойʺ зашифрованной связи через совместно используемое APN. Кроме того, в некоторых вариантах осуществления каждый контейнер может использовать свой собственный (программный/электронный) SIM для доступа к учетным данным для аутентификации и авторизации.
[0056] Несколько контейнеров на устройстве могут использовать тот же самый eSIM. Это обычно требует использования дополнительного идентификатора среза на каждый контейнер для связи.
[0057] Связь из контейнеров осуществляется посредством доступов, поддерживаемых устройством. Оператор может обслуживать несколько срезов, и виртуальный оператор может быть представлен сетевым срезом или несколькими сетевыми срезами. Использование различных сотовых радиодоступов параллельно для доступа к нескольким не-виртуальным операторам может требовать поддержки нескольких радиомодулей.
[0058] Устройство может иметь свою собственную операционную систему, поддерживающую среду контейнеров (OS устройства), и каждый контейнер может дополнительно иметь выделенную операционную систему только для этого контейнера (OS контейнера). Как сетевые срезы, так и контейнеры имеют идентичность, и эти идентичности ассоциированы в устройстве. Идентичности могут быть основаны на существующих идентичностях в устройстве. В вариантах осуществления, где контейнер имеет OS контейнера, устройство может включать в себя платформу виртуализации (например, гипервизор), на которой может исполняться OS контейнера.
[0059] OS устройства поддерживает контейнеры, в которых выполняются или исполняются конкретные приложения для конкретного сетевого среза. Приложение, выполняющееся в одном конкретном контейнере, может быть предотвращено от получения доступа к приложениям, данным и/или услугам в другом контейнере, поскольку OS устройства экранирует контейнеры друг от друга. Приложение или услуга могут осуществлять доступ к ресурсам устройства, таким как сетевой интерфейс, модем, камера и т.д., вместе с другими контейнерами.
[0060] Каждый сетевой срез обеспечивает ограничения на устройстве, которые определяют способ и степень, с которыми устройство может осуществлять доступ к сетевому срезу. Эти ограничения могут быть представлены в декларации для сетевого среза (ʺдекларация срезаʺ или ʺдекларация контейнераʺ), и они могут управлять, например, типом доступа, местоположением устройства, использованием ресурсов устройства, заполненностью контейнеров приложениями, использованием контейнера или модификацией контейнера и приложений.
[0061] Термин ʺустройствоʺ может относиться к любому устройству, имеющему соединение с сетью. Примеры включают в себя устройства конечного пользователя, например, пользовательское оборудование (UE) или персональный компьютер (PC), или устройства, конкретно не указанные как устройства конечного пользователя, такие как, например, устройства Интернета вещей (IOT).
[0062] Термин ʺсоединениеʺ может относиться к любой форме соединения (например, проводной или беспроводной), которая позволяет устройству отправлять и/или принимать информацию в сеть и/или из сети. Примерные технологии проводных соединений включает в себя локальную сеть (LAN) и цифровую абонентскую линию (DSL). Примерные технологии беспроводных соединений включают в себя пакетную радиосвязь общего пользования (GPRS) в радиотехнологии 2G или 3G, долгосрочное развитие (LTE) 4G и радиотехнологии следующего поколения 5G. Устройство может также использовать некоторую другую технологию для соединения с сетью, такую как WiFi или Bluetooth.
[0063] Устройство может иметь множество соединений с сетью, используя любую проводную или беспроводную технологию. Альтернативно, устройство может быть ограничено для использования одного соединения в данный момент времени или может поддерживать использование множества соединений параллельно.
[0064] На фиг. 2 показана система 200, содержащая устройство 205 и сеть 210 в соответствии с вариантом осуществления раскрытого предмета.
[0065] Как показано на фиг. 2, устройство 205 содержит множество контейнеров 1-x, и сеть 210 содержит множество сетевых срезов 1-x, которые соответствуют соответствующим контейнерам 1-x. Устройство 205 дополнительно содержит OS, которая является общей для всех контейнеров 1-x.
[0066] Термин ʺконтейнерʺ может относиться к защищенной среде, где одно или несколько приложений могут выполняться в устройстве, которая ассоциирована с сетевым срезом. Приложения внутри контейнера могут осуществлять связь друг с другом до тех пор, пока они разрешают связь друг с другом. Приложения вне контейнера не могут осуществлять связь с приложениями внутри контейнера. Это препятствует приложениям вне контейнера осуществлять перехватывание, сканирование, анализ, добавление трассировки, добавление отметок или иное получение информации, предназначенной только для приложений внутри контейнера. Это может включать в себя информацию, которой обмениваются приложения, а также любую информацию в OS устройства, памяти, регистре или других ресурсах устройства. Вредоносные приложения могут также манипулировать или осуществлять доступ к другим приложениям и/или данным, что может быть предотвращено посредством использования контейнеров.
[0067] Устройство обычно имеет по меньшей мере два контейнера, и все приложения находятся внутри контейнера, то есть нет приложений вне контейнеров. Количество контейнеров, фактически используемых в устройстве, зависит от конечного использования устройства. Первый контейнер обозначен как контейнер по умолчанию, который используется для частной или другой общей цели. В некоторых вариантах осуществления не налагается никакое ограничение на приложения, которые помещаются внутри этого контейнера. Дополнительные контейнеры ассоциированы с сетевыми срезами для конкретных целей. Конкретная цель может также диктовать ограничения по отношению к контейнеру, ассоциированному с сетевым срезом. Если сеть имеет срез для использования по умолчанию, то первый контейнер также ассоциирован со срезом для использования по умолчанию. Ассоциацию между контейнером и сетевым срезом можно рассматривать как расширение сетевого среза в устройство и в контейнер.
[0068] Хотя возможно соединять контейнер с более чем одним сетевым срезом, может потребоваться разрешение конфликтов между ограничениями, обеспеченными множеством сетевых срезов. Для остальной части предполагается ассоциация один к одному между контейнером и сетевым срезом, если не указано иное.
[0069] Некоторые варианты осуществления включают в себя один контейнер с частными приложениями, сконфигурированными вне контейнера. Приложения вне контейнера являются потенциальным риском безопасности. Должны приниматься меры предосторожности, например, все приложения вне одного контейнера деактивируются, прежде чем активирован контейнер с приложениями, и эти приложения не могут быть активированы после этого. Это может быть реализовано посредством перезапуска устройства.
[0070] Также возможно устройство, имеющее один контейнер и не имеющее приложений вне контейнера. Это может быть пригодно, например, для устройств Интернета вещей (IOT). Наличие одного контейнера обеспечивает сетевой срез, в котором какие-либо ограничения, а также элементы идентичности защищены.
[0071] Устройство может иметь функцию администрирования контейнеров для управления средой контейнеров устройства. Функция администрирования контейнеров может быть частью OS устройства. Она может также быть добавленной функцией программного обеспечения поверх операционной системы. Функция администрирования контейнеров также может быть реализована как выделенный аппаратный модуль/блок устройства. Модуль/блок может даже заменять собственную операционную систему устройства. Администратор контейнеров определяет правила по каждому контейнеру и управляет связью между контейнерами и сетью.
[0072] Например, администратор контейнеров может использовать ограничения, обеспеченные сетевыми срезами, для определения набора правил для контейнеров. На основе этих правил администратор контейнеров может выполнять любое из следующих примерных действий: (a) добавление, обновление или удаление контейнеров, (b) добавление, обновление или удаление приложений в контейнерах, (c) активацию и деактивацию приложений, (c) управление доступом к сети посредством приложений в контейнерах, (d) маршрутизацию, шифрование и дешифрование сообщений между приложениями в контейнере и сетевыми срезами или (е) управление доступом к ресурсам устройства приложениями в контейнерах.
[0073] Устройства могут иметь некоторую форму уникального идентификатора. Одним из примеров является карта USIM/UICC в мобильном телефоне. Другим примером является идентификатор оборудования (IMEI), используемый в радиотехнологиях 2G, 3G и 4G 3GPP. Это является уникальным идентификатором устройства, помимо идентификатора, предоставленного SIM-картой. Другим возможным идентификатором является виртуальный SIM или eSIM. Контейнер может требовать связывания с уникальным идентификатором. Более чем один контейнер может использовать один и тот же уникальный идентификатор. Контейнер может также требовать более одного идентификатора. Например, как уникальный идентификатор оборудования, так и идентичность пользователя, обеспечиваемая SIM-картой, могут потребоваться для обеспечения возможности установления или выполнения приложений в контейнере в устройстве.
[0074] Подобно устройству, сетевой срез может также использовать идентификацию для того, чтобы быть способным адресовать и соединяться. Это может быть достигнуто с помощью конкретного APN, выделенного для сетевого среза. Другой возможной альтернативой является общее APN для всех доступных срезов с добавлением конкретного идентификатора среза. Существуют и другие возможности для идентификации среза. В данном описании термин ʺидентификатор срезаʺ будет использоваться для обозначения любой из вышеупомянутых или других возможных альтернатив.
[0075] В некоторых вариантах осуществления, контейнеры могут использовать OS устройства и не требовать OS контейнера. Некоторые соображения для использования OS контейнера включают в себя следующее. Во-первых, OS контейнера может, возможно, улучшить изоляцию контейнера, поскольку OS устройства является потенциальной уязвимостью. OS контейнера может быть полной операционной системой или минимальной операционной системой, обеспечивающей слой защиты. Во-вторых, OS контейнера может разрешать различные операционные системы или конфигурации для контейнера. Примером такой OS контейнера является система, в которой используется зашифрованный в памяти код приложения. Только части кода, необходимые во время выполнения, расшифровываются и используются. Это может защитить внешнюю память от считывания, например, анализатором, прикрепленным к микросхемам памяти. В-третьих, OS контейнера может подавлять определенные функции устройства, так как OS контейнера может не иметь соединений драйвера для USB, карты устройства поверхностного монтажа (SMD) или любого другого ввода/вывода данных.
[0076] На фиг. 3-5 показаны варианты системы 200. В частности, на фиг. 3 показана система 300, содержащая устройство 305, которое аналогично устройству 205 на фиг. 2, за исключением того, что каждый из контейнеров 1-x дополнительно содержит OS контейнера и соответствующие приложения, которые выполняются на OS контейнера. На фиг. 4 показана система 400, содержащая устройство 405, которое аналогично устройству 305, за исключением того, что OS устройства дополнительно содержит администратор контейнеров. Фиг. 5 иллюстрирует систему 500, содержащую устройство 505, которое аналогично устройству 405, за исключением того, что администратор контейнеров и OS устройства дополнительно соединены с интерфейсом ввода/вывода (IO), таким как GUI, аудиоинтерфейс и т.д.
[0077] В общем, сеть может накладывать ограничения на устройство, прежде чем она предоставляет доступ к одному из своих срезов. Такие ограничения, зависимые от среза, могут иметь различные формы реализации. Одним из примеров является декларация среза, которая предоставляется устройству, когда оно запрашивает первый доступ или повторный доступ, и декларация среза изменились со времени последнего запроса. Декларация среза также может отправляться с каждым запросом, предлагая устройству проверить, изменилось ли что-нибудь. Сеть может также отправлять декларацию среза без запроса (без конкретного запроса от устройства), когда она обнаруживает первое соединение с сетью устройства. Это обнаружение может запускаться идентификатором пользователя или устройства, используемым для первого контакта, или устройство обеспечивает идентификацию поддержки контейнеров.
[0078] Сеть может обеспечивать одну или несколько деклараций среза на основе идентификаторов или может объявлять возможные сетевые срезы, например, на устройстве, обеспечивающих идентификацию поддержки контейнеров. Это будет исключать прием объявления или декларации среза в устройствах, которые не поддерживают контейнеры.
[0079] Независимо от формы и времени, в которых ограничения предоставляются устройству, декларация среза может включать в себя любой из следующих не ограничивающих элементов в любой подходящей комбинации: (a) ограничения доступа, например, в форме черного списка или белого списка, (b) ограничения местоположения, (c) ограничения использования ресурсов, (d) ограничения заполнения контейнера, (e) ограничения использования контейнера и (f) ограничения модификации контейнера.
Доступ
[0080] Как указано выше, устройство может иметь более одного типа доступа, который оно может использовать для соединения с сетевым срезом. Декларация среза может содержать белый список, указывающий, какие типы доступа разрешены, или черный список, указывающий, какие типы доступа не разрешены. Возможные различия могут представлять собой, например, проводной доступ против беспроводного доступа (перехват), отклонение общедоступного WIFI и точки беспроводного доступа (локальный взлом), отклонение 2G/3G GPRS (слишком низкая скорость передачи), отклонение Bluetooth, отклонение присоединения. Декларация среза может дополнительно содержать конкретные подробности по каждому разрешенному типу доступа (список доступа) и может содержать: идентификатор среза, APN для использования, IP-адрес, номер порта, учетные данные безопасности, инициирующие защищенное туннелирование. Заметим, что любая защита или другая информация, связанная с приложениями, включена в список приложений, см. ниже.
Местоположение
[0081] Для мобильных устройств или стационарных устройств, которые удаляются из их стационарного местоположения, могут быть обеспечены зависящие от среза ограничения. Ограничения по местоположению могут быть в форме разрешенных или неразрешенных APN. Другими могут быть код страны точки доступа, например, 3GPP. Также может использоваться идентификация конечной точки, подобная идентификации для стационарных соединений. Собственное независимое определение местоположения устройства, подобное GPS, может использоваться для ограниченной области или разрешенных областей. Очевидно, что возможны различные другие зависимые от местоположения ограничения.
Ресурсы
[0082] Устройство может иметь большое разнообразие ресурсов, и конкретные ограничения среза могут позволять или запрещать привилегированное использование или ограниченное использование. В одном примере, локальный экспорт данных запрещен, не разрешая, например, карты SD или другую съемную память, порты USB, NFC и т.д. В другом примере, локальный импорт данных запрещен. Таким образом, можно распечатать страницу, но не выгрузить потенциально вредное содержимое. Примерная реализация может разрешать только вывод на ресурсы, как упомянуто ранее. Дополнительным примером является привилегированное использование, которое может предотвратить, например, перехват аудио. Когда приложение в рассматриваемом контейнере использует микрофон устройства конечного пользователя, никакому другому контейнеру или приложению вне рассматриваемого контейнера не разрешено использовать аудио из микрофона в это же время. Кроме того, когда приложение в рассматриваемом контейнере использует динамики устройства конечного пользователя, никакому другому контейнеру или приложению вне рассматриваемого контейнера не разрешено использовать аудио из микрофона в это же время.
Заполненность контейнеров
[0083] Контейнер обычно эффективен только тогда, когда он заполнен одним или несколькими приложениями. Сетевой срез может регулировать то, какие приложения могут быть добавлены в контейнер. Одним возможным механизмом для этой регулировки является черный список, который определяет приложения, которые не могут быть установлены в контейнере, или типы связи, которые не разрешены (например, не FTP). Другим возможным механизмом является белый список, определяющий приложения, которые могут быть установлены, или типы связи, которые разрешены (например, неограниченный, только безопасный протокол передачи гипертекста [SНТТР]). Декларация среза может также определять местоположение источника для получения приложения, которое может выполняться в контейнере. Другим примером является закрытый контейнер, в котором пользователь устройства не может добавлять или удалять приложения. Приложения предоставляются в декларации среза в качестве обязательного списка приложений. Это включает в себя исходное местоположение приложений. Для обязательных приложений декларация среза может определять автоматическую активацию приложения. Это может быть полезным, например, для устройств типа IOT. Автоматическая активация может указываться.
Использование контейнеров
[0084] В принципе, приложения в различных контейнерах могут выполняться параллельно. Это может вызывать проблемы, когда два контейнера разрешают соответствующим приложениям использовать один и тот же ресурс. Примером является микрофон в устройстве конечного пользователя. Пользователю может перевести в фокус (в активное состояние) один из контейнеров для использования микрофона. Только контейнер в фокусе использует ресурсы, в то время как другие не используют. Пример реализации контейнера в фокусе включает в себя визуальное представление доступных контейнеров на устройстве и предложение пользователю выбрать один, чтобы перевести в фокус.
[0085] Блокированный фокус является расширением упомянутого выше. Если контейнеру был предоставлен фокус, и, по соображениям безопасности, локальная операционная система или приложение должно завершить задачу, пользователю может не разрешаться изменение фокуса временно до тех пор, пока задача не будет завершена. Примером являются процедуры регистрации (входа в систему), например, для банковского счета, где регистрация и установка шифрования являются неразделимой задачей. После установления шифрования пользователь может изменить фокус.
[0086] Привилегированное использование является строгим типом фокуса. Параллельное выполнение приложений во множестве контейнеров может означать, что они совместно используют один элемент обработки, который обеспечивает риски, связанные со считыванием регистров, и в принципе обходят администрирование памяти для несанкционированного доступа к сегментам кода/данных. Использование привилегированного контейнера означает, что никакие другие контейнер или приложение не активны, когда данный контейнер и какое-либо приложение в нем активны. Это может быть выполнено путем повторного запуска устройства с предварительным отключением любого другого контейнера и любого приложения вне рассматриваемого контейнера.
[0087] Замораживание контейнера является временной деактивацией контейнера. Любая коммуникация между приложениями замороженного контейнера к сетевым срезам и от них или доступ к ресурсам устройства запрещен. Опция замораживания может использоваться, например, когда соединение с сетевым срезом потеряно или когда действия должны быть приостановлены до завершения сканирования безопасности замороженного контейнера.
Модификация контейнера
[0088] Набор ограничений для сетевого среза может быть действительным для множества устройств. В таком сценарии обновление декларации среза может рассматриваться как новая декларация среза для каждого из множества устройств. Поэтому одна реализация может состоять в том, что обновленная декларация среза побуждает устройство создать новый контейнер в соответствии с обновленной декларацией среза и отбрасывать первый контейнер (принудительное обновление). Это означает, что декларация среза может упоминать предыдущие версии декларации среза (и, таким образом, контейнеры), которые заменяются.
[0089] Принудительное обновление имеет некоторые потенциальные недостатки и потенциальные преимущества. Одно потенциальное преимущество обеспечивается историей приложения. В некоторых обстоятельствах для среза может быть полезным отбросить данные истории приложения. В других обстоятельствах это может быть недостатком. Таким образом, декларация среза может дополнительно указывать, могут ли и для каких приложений поддерживаться исторические данные.
[0090] В дополнение к декларации среза, приложения могут также подвергаться регулярным обновлениям. В зависимости от стратегии среза для обновлений можно либо замораживать обновления на каждую версию приложения, либо разрешать обновления приложения вне обновлений контейнера.
[0091] В варианте осуществления, список приложений обеспечивается для блокированного контейнера. Список может содержать, на каждое приложение, принудительное обновление, требуемую версию, разрешено ли обновление, и могут ли поддерживаться исторические данные, и местоположение для извлечения приложения. Он может дополнительно определять любую информацию, связанную с безопасностью, или другие учетные данные для приложения, например, сертификат. Он может также определять автоматическую активацию, когда, например, активация приложения не запускается обнаруживаемым устройством событием. Когда срез не обеспечивает принудительное обновление для всего контейнера, то устройство может создавать новый контейнер, кроме копирования конкретного кода приложения и/или данных на основе списка приложения.
[0092] Администратор контейнеров является слоем между контейнерами и функциями устройства, такими как графический пользовательский интерфейс (GUI), аудио, камера, универсальная последовательная шина (USB), карта формата Secure Digital (SD), датчик влажности, система глобального позиционирования (GPS), термодатчик, датчик близости, датчик вибрации и т.д., а также собственная операционная система устройства и соединение с сетью. Контейнеры могут быть полностью или существенным образом быть экранированы от внешнего мира, и любой запрос, данные и т.д. могут выполняться посредством администраторов контейнеров. Администратор контейнеров может использовать набор правил на основе ограничений, например, в ʺдекларации контейнераʺ, чтобы управлять средой контейнера.
[0093] Функция администрирования контейнером может быть реализована как кодированные инструкции, исполняемые процессором устройства независимо от операционной системы устройства, например, как показано на фиг. 7, но может также быть отдельным блоком, то есть блоком администратора контейнеров, интегрированным в устройство, например, как показано на фиг. 8. Примерным вариантом осуществления блока может быть блок, соединенный с внутренней шиной устройства. В последующем описании термин ʺадминистратор контейнеровʺ может означать либо функцию администратора контейнеров, либо блок администратора контейнеров.
[0094] Администратор контейнеров может иметь свой собственный идентификатор для своей собственной связи.
[0095] После запуска, например, перезапуска устройства после установки администраторов контейнеров или начального запуска, если администратор контейнеров является неотъемлемой частью устройства, как поставляется, устройство подготавливает среду контейнера. Это может быть сделано согласно включенному сценарию (скрипту), например, когда администратор контейнеров является неотъемлемой частью устройства, или посредством обнаружения и последующего сценария.
[0096] В случае обнаружения, обнаруживается тип устройства, и требуемые настройки получаются внутренним образом или внешним образом посредством сетевого доступа. Альтернативно, администратор контейнеров обнаруживает непосредственно возможности устройства. Набор возможностей устройства представляет собой основу для правил, относящихся к этим возможностям, при применении ограничений для контейнеров.
[0097] После установки среды контейнеров, администратор контейнеров может запустить создание контейнеров. Различные опции создания контейнера включают в себя то, какие контейнеры (или сетевые срезы) создаются, и когда и кто инициирует создание. Некоторые из этих опций будут рассмотрены здесь в качестве примеров, включая (а) устройство IOT со сценарием внутренней конфигурации устройства, (b) устройство конечного пользователя со сценарием внутренней конфигурации, (с) устройство конечного пользователя без сценария внутренней конфигурации и (d) устройство IOT без сценария конфигурации.
Устройство IOT со сценарием внутренней конфигурации устройства
[0098] При производстве, ограничения и другие подробности для конкретного сетевого среза предварительно программируются в устройстве посредством сценария конфигурации, который может рассматриваться как сохраненная в устройстве декларация контейнера. Администратор контейнеров создает и заполняет контейнер приложениями и подготавливает набор правил на основе возможностей устройства и ограничений в декларации контейнера. При достижении готовности, администратор контейнеров устанавливает соединение с сетевым срезом. В случае устаревания информации в локальной декларации контейнера, она может быть восстановлена обновленной декларацией контейнера, предоставляемой сетью, аналогично применению к обновлению приложений.
Устройство конечного пользователя со сценарием внутренней конфигурации
[0099] При производстве, ограничения и другие подробности для частного сетевого среза предварительно программируются в устройстве посредством сценария конфигурации, который может рассматриваться как сохраненная в устройстве декларация. Администратор контейнеров создает контейнер и подготавливает набор правил на основе возможностей устройства и ограничений в декларации. При достижении готовности, администратор контейнеров устанавливает соединение с сетевым срезом. Это может быть контейнер по умолчанию или конкретный контейнер, например, специализированный для устройств IOT. Затем пользователь может добавить приложения в контейнер по желанию. Устройство может также добавить новые контейнеры на основе объявления о доступных сетевых срезах сетью (или точкой доступа), опционально после подтверждения пользователем. Объявленный набор может быть ограничен сетью до срезов для общего пользования и может воздерживаться от объявления, например, корпоративных срезов.
Устройство конечного пользователя без сценария внутренней конфигурации
[0100] Администратор контейнеров создает контейнер по умолчанию без ограничений. Для контейнера не создается набор правил. При достижении готовности, администратор контейнеров устанавливает соединение с сетевым срезом по умолчанию. Затем пользователь может добавить приложения к контейнеру по желанию. Пользователь может также добавить новые контейнеры, как это сделано в устройстве конечного пользователя со сценарием внутренней конфигурации в соответствии с приведенным выше описанием.
Устройство IOT без сценария конфигурации
[0101] Устройство IOT может быть типовым для соединения с множеством корпоративных срезов, подобно блоку обнаружения взлома/возгорания, который может быть соединен с множеством корпоративных сетевых срезов, принадлежащих множеству компаний обеспечения безопасности. Когда среда контейнеров подготовлена, администратор контейнеров предлагает оператору/программисту устройства ввести учетные данные сетевого среза для использования. При соединении с сетевым срезом администратор контейнеров принимает начальную декларацию и конфигурирует контейнер и применяемые правила на ее основе. Альтернативой является то, что сеть обнаруживает начальное присоединение и сначала приводит пользователя/оператора к приложению веб-страницы или тому подобному для аутентификации и разрешения использовать сетевой срез перед отправкой фактической декларации.
[0102] Добавление нового контейнера может запускаться пользователем или запускаться сетью. Пользователь может выбрать сетевой срез из набора, объявленного сетью, или может ввести вручную идентификацию сетевого среза. Сеть обеспечивает корректную декларацию сетевого среза после запроса устройством, когда сеть определила, что устройству разрешено иметь доступ к этому сетевому срезу.
[0103] В качестве альтернативы запросу на основе пользователя, сеть может посылать декларацию сетевого среза без запроса устройства. Это потенциально выгодно для устройств типа IOT или других устройств, не обозначенных как устройства конечного пользователя.
[0104] Администратор контейнеров принимает декларацию контейнера и действует соответствующим образом. В частности, администратор контейнеров может выполнять следующие операции в результате приема декларации контейнера. Он создает контейнер, а затем конфигурирует набор правил на основе характеристик устройства и ограничений в декларации контейнера. После этого он заполняет контейнер приложениями, которые утверждаются как обязательные в декларации. Это может также включать в себя конфигурацию приложения. Затем администратор контейнеров может проверять подлинность и активировать заполненный контейнер. Активация может включать в себя активацию обязательных приложений. Необязательные приложения также могут быть активированы автоматически, но обычно это может являться задачей пользователя или оператора устройства. Активация контейнера может также включать в себя конфигурацию ресурсов устройства. Активация (или использование) ресурсов запускается приложением, запрашивающим такое использование от администраторов контейнеров. Администратор контейнеров может также запросить перезапуск устройства для выполнения изменений в соответствии с процедурой.
[0105] Обновление контейнера инициируется приемом декларации среза (или декларации контейнера). Сеть может отправлять декларацию среза каждый раз, когда устройство присоединяется, когда требуется обновление, или независимо всякий раз, когда устройство соединено и требуется обновление. Обновление может быть отправлено и подтверждено для всего устройства или только в отношении конкретного устройства.
[0106] Одной причиной для обновления контейнера могут быть изменения в ограничениях или списке приложений. Обновление может содержать принудительное обновление всего контейнера и всех приложений, что включает в себя приложения, добавленные пользователем, которые отбрасываются, и только обязательные приложения, которые устанавливаются. Затем пользователь должен вручную добавить свои регулярные приложения. Примером последнего является запрошенная пользователем ʺперезагрузкаʺ, когда комбинация контейнера и приложений больше не работает должным образом, когда сеть отправляет декларацию ʺперезагрузкиʺ среза.
[0107] Как указано выше, администратор контейнеров принимает декларацию среза и запускает ее исполнение. В случае принудительного обновления всего контейнера, администратор контейнеров может добавить новый контейнер. Когда проверка подлинности завершена, администратор контейнеров удаляет старый контейнер и затем активирует новый контейнер. Декларация среза может также содержать конкретный сценарий, которому должен следовать администратор контейнеров. Такой сценарий может применяться, например, к корпоративным срезам и критически важным приложениям. Корректное функционирование нового приложения в новом контейнере обычно верифицируется, прежде чем старое приложение в старом контейнере будет деактивировано.
[0108] Если принудительное обновление всего контейнера не требуется, администратор контейнеров может проверять декларацию среза и сравнивать ее с той, которая использовалась для установления текущего контейнера для сетевого среза. Это подразумевает, что администратор контейнеров сохранил последнюю декларацию среза, которая использовалась для контейнера.
[0109] Когда имеются изменения в ограничениях, администратор контейнеров может вести себя аналогично принудительному обновлению с созданием нового контейнера и удалять старый контейнер. Однако различие по отношению к принудительному обновлению заключается в том, что администратор контейнеров может поддерживать определенные данные приложения (например, кодирование, данные, историю и т.д.), если список приложений в декларации среза позволяет и не требует дополнительных модификаций.
[0110] Если изменения были бы адресованы отдельным приложениям, администратор контейнеров может сохранить текущий контейнер и выполнить обновления приложения только для релевантных приложений. Это может включать в себя добавление нового приложения (обычно обязательного) или удаление приложения (внесенного в черный список). В некоторых обстоятельствах, администратор контейнеров может вызвать перезапуск устройства для выполнения изменений.
[0111] Удаление контейнера обычно представляет собой запрос пользователя/оператора. В некоторых обстоятельствах, удаление также может быть выполнено или запрошено от сетевой стороны либо косвенно (как результат обновления декларации среза), либо непосредственно, например, после прекращения или окончания подписки, например для доставки контента.
[0112] Администратор контейнеров может удалять контейнер, приложения в контейнере и любые относящиеся к ним данные. Администратор контейнеров может также обновлять конфигурацию ресурсов устройства, где это применимо. В некоторых случаях, администратор контейнеров вызывает принудительно перезапуск устройства, чтобы сделать изменения активными.
[0113] Пользователь/оператор устройства может добавлять или удалять приложения, если это разрешено декларацией среза (например, на основе включенного списка приложений). Добавление или удаление приложений также может быть инициировано сетью, когда администратор контейнеров принимает новую (обновленную) декларацию среза. В обоих случаях администратор контейнеров добавляет или удаляет приложение. В случае запроса пользователя/оператора, администратор контейнеров проверяет декларацию среза для контейнера, чтобы определить, не внесено ли приложение в черный список (для добавления) или является обязательным (для удаления). Администратор контейнеров может настраивать конфигурации ресурсов устройства и даже вызывать принудительно перезапуск устройства для выполнения любых изменений.
[0114] Дополнительным действием администраторов контейнеров может быть то, что при добавлении приложения, не разрешенного в одном контейнере, заданном пользователем, администратор контейнеров проверяет, имеются ли другие контейнеры, куда может быть добавлено приложение, и предлагает эти другие контейнеры пользователю/оператору.
[0115] Дополнительным действием администраторов контейнеров может быть подтверждение подлинности приложения, предлагаемого для добавления. Если приложение содержится в списке приложений декларации среза, то оно обычно будет верифицировано или будет иметь сертификат, обеспечивающий возможность легкой верификации. Более вероятно, что введенные пользователем/оператором приложения не являются корректными. Администратор контейнеров пытается получить сертификат. Если сертифицированная идентификация невозможна или проверка безуспешна, администратор контейнеров не добавляет приложение.
[0116] Приложения в контейнерах могут относиться к разным категориям. Приложения могут быть активированы пользователем/оператором и оставаться активными, пока не будут деактивированы пользователем/оператором. Приложения могут выполняться непрерывно, начиная с начальной активации. Приложения могут быть активированы и деактивированы администратором контейнеров, как запущено событиями устройства. Действие пользователя/оператора может также рассматриваться как событие, связанное с устройством, сравнимое с элементами, такими как показание теплового датчика или предупреждение о близости. Набор правил, используемый администратором контейнеров для контейнера, в котором содержится приложение, может предоставлять значения, ограничения для уровня запуска, а также выражения действительности.
[0117] Как указано выше, администратор контейнеров экранирует контейнеры, что означает, что вся коммуникация приложений выполняется посредством администраторов контейнеров. Устройство может также иметь многочисленные возможности доступа, используя различные технологии, как описано выше.
[0118] Администратор контейнеров обычно включает в себя по меньшей мере две функции, включая управление возможностями доступа и маршрутизацию трафика между контейнерами (приложениями) и сетью. Обе функции будут рассмотрены ниже более подробно.
[0119] По существу все контейнеры могут использовать один и тот же радио или проводной интерфейс(ы), но конкретный контейнер может быть ограничен, чтобы обеспечивать возможность связи только по определенному интерфейсу. С другой стороны, конкретный сетевой срез может ограничивать возможности доступа. Это способствует удовлетворению определенных SLA в зависимости от сетевого среза. Кроме того, другие причины, такие как уровень безопасности, скорости передачи или другие аспекты QoS, могут потребовать ограничения связи определенными технологиями.
[0120] Контейнер, как правило, использует/осуществляет доступ к конкретному сетевому срезу с использованием интерфейса, который доступен в устройстве и поддерживается посредством конкретного сетевого среза.
[0121] В некоторых вариантах осуществления администратор контейнеров ограничивает доступ в отношении того, какой интерфейс может использоваться определенным контейнером (или приложением в нем). По существу, это будет взаимно однозначным отношением с точки зрения контейнера. Однако некоторые контейнеры могут использовать один и тот же интерфейс для соединения с различными срезами. Такая ситуация показана на фиг. 6, где один радиоканал (обозначенный как ʺсоединение устройства с сетьюʺ) соединяет сеть и устройство, но внутри канала существуют отдельные каналы (обозначенные как ʺбезопасный туннель срезаʺ) по каждому контейнеру. Хотя здесь используется термин ʺканалʺ, термин ʺоднонаправленный каналʺ или ʺтуннельʺ может использоваться взаимозаменяемо с ʺканаломʺ в этом контексте.
[0122] В случае движущегося устройства или в качестве запасного варианта, может существовать более одной комбинации интерфейса доступа и идентификатора сетевого среза. Одним из примеров является @Home для потоковой передачи фильма, где другие местоположения, отличные от вашего дома, не разрешены ввиду прав для фильма. Однако когда помещения покрываются более чем одной станцией WiFi, может также существовать более одной комбинации. WiFi и запасной вариант на 4G обеспечат более одной комбинации.
[0123] Администратор контейнеров действует согласно правилам контейнера, которые указывают, какой интерфейс разрешен для контейнера, и с каким сетевым срезом он должен соединяться, когда приложению в контейнере требуется связь с сетью.
[0124] Если имеются изменения в сети (для соединения с сетевым срезом), то сетевая информация об этом достигает администраторов контейнеров, и администратор контейнеров изменяет доступ соответственно. Это может случиться в ситуации, когда, например, устройство перемещается, и происходит переключение обслуживания (хэндовер), или когда возникает запасной вариант с использованием другого интерфейса.
[0125] Администратор контейнеров может повышать экранирование путем установления безопасного туннеля между сетевым срезом и контейнером. Это не исключает возможности того, что приложение может также установить безопасный туннель внутри этого туннеля для связи с конкретной услугой в сетевом срезе или через него. Аутентификация и шифрование, требуемые для туннеля контейнера, выполняются администратором контейнеров.
[0126] В качестве альтернативы, когда контейнер имеет свою собственную OS контейнера, шифрование и дешифрование могут выполняться с помощью OS контейнера. Это может повышать уровень безопасности ввиду изоляции от приложений в других контейнерах. Декларация сетевого среза может определять, куда поместить более высокий уровень доверия относительно местоположения, где выполняется шифрование и дешифрование.
[0127] Как правило, входящий трафик будет завершаться в/управляться администраторе(ом) контейнеров. В зависимости от реализации, администратор контейнеров может управлять механизмом внутренней маршрутизации, но механизм маршрутизации как таковой может не обязательно быть частью администраторов контейнеров. Сигнализация может заканчиваться в релевантном интерфейсе в зависимости от уровня (главным образом, LI). Затем она доходит до администраторов контейнеров для определения того, предназначен ли сигнал или сообщение для себя или для контейнера. Комбинация интерфейса и идентификации среза сообщений указывает на то, для какого контейнера предназначается сообщение. Эта информация используется для маршрутизации сообщения. Когда уровень шифрования находится в администраторе контейнеров, эта информация также требуется для шифрования сообщения, прежде чем администратор контейнеров сможет выполнить второй проход. Когда уровень шифрования находится в контейнере, маршрутизация осуществляется с зашифрованными сообщениями в контейнер. В этом случае не имеется второго прохода. Во втором проходе администратор контейнеров определяет из сообщения, предназначено ли оно для приложения в контейнере или для целей управления, которые должны быть обработаны администратором контейнеров. По существу, администратор контейнеров обрабатывает как сообщения, адресованные на собственный идентификатор администраторов контейнеров, так и, более обобщенно, любое сообщение, не адресованное конкретному приложению, присутствующему в контейнере.
[0128] Входящее сообщение для определенного приложения в определенном контейнере может представлять собой триггер события для активации приложения.
[0129] Исходящий трафик генерируется приложениями в контейнерах или в определенных обстоятельствах самим администратором контейнеров. Приложения необязательно должны быть осведомлены об используемом сетевом срезе, поскольку это непосредственно может быть получено из отношения между приложением и контейнером. Только там, где контейнеру разрешено использовать более одного интерфейса в то же самое время, приложение должно определять, какой интерфейс оно требует. Администратор контейнеров связывает идентификатор среза на основе контейнера (и требуемого интерфейса при необходимости) с сообщению перед/во время маршрутизации. Когда существуют непрерывные туннели, администратор контейнеров непосредственно посылает сообщение или иначе временный туннель может быть установлен для этой цели. Когда уровень шифрования находится в администраторе контейнеров, он шифрует сообщения, прежде чем маршрутизация и связывание с идентификатором среза будут выполнены до шифрования.
[0130] Входящие и исходящие сообщения OS устройства сначала обрабатываются как передачи администраторов контейнеров. Операционная система может обходить администратор контейнеров посредством непосредственной адресации интерфейсов, но при создании среды контейнеров управление драйверов интерфейса должно быть изменено для управления администратором контейнеров.
[0131] Если требуется, администратор контейнеров передает принятое сообщение для себя дополнительно на OS устройства. Исходящие сообщения OS устройства проверяются администратором контейнеров и при необходимости отправляются.
[0132] Когда контейнер имеет свою собственную OS, сообщения для контейнера пересылаются администратором контейнеров в OS контейнера, которая берет на себя доставку в приложение в контейнере, если только сообщение не было адресовано самой OS контейнера. Исходящие следуют в противоположном направлении.
[0133] Администратор контейнеров может быть ответственным исключительно за управление ресурсами устройства. Некоторые исключения включают в себя память и дисковое хранилище и внутреннюю шину прямого доступа к памяти (DMA), систему прерывания и т.д., которые обычно объединяются операционной системой. Отдельный случай представляет собой объединенный администратор контейнеров устройства, который также выполняет задачи операционной системы. Следовательно, устройство больше не будет иметь операционную систему, а только администратор контейнеров, который действует соответствующим образом. При стандартизации операционных систем это может быть весьма применимым, когда управление низкого уровня может быть захвачено посредством BIOS или т.п.
[0134] На фиг. 5 показана ситуация, когда OS управляет базовыми элементами, такими как администрирование памяти, шина DMA и система прерывания, и администратор контейнеров управляет другими ресурсами, такими как интерфейс доступа, динамик, камера, приемник GPS, любые датчики для вибрации, нагрева, близости и т.д. USB и карты SMD.
[0135] Когда администратор контейнеров устанавливает среду контейнера, он может предварительно конфигурировать ресурсы, которыми он может управлять таким образом, что они управляются только администратором контейнеров. Это может включать в себя настройку в драйверах низкого уровня. Эта конфигурация может быть тогда действительной для всех контейнеров.
[0136] При установке конкретного контейнера, администратор контейнеров может выполнить дополнительные конфигурации для ресурсов, и при установке конкретных приложений может быть выполнена даже дополнительная конфигурация. Однако в некоторых вариантах осуществления администратор контейнеров разрешает конфликтующие конфигурации на различных уровнях. В таких вариантах осуществления, когда возникают конфликты, выполняется начальная установка, но реконфигурация необходима перед использованием конкретным приложением. Администратор контейнеров поддерживает наборы настроек конфигурации по каждому приложению и контейнеру в случае конфликтов. Альтернативно, администратор контейнеров поддерживает набор установок конфигурации для всех приложений, установленных для ресурсов, которые им разрешено использовать.
[0137] Когда приложение хочет использовать ресурс, администратору контейнеров потребоваться реконфигурировать рассматриваемый ресурс. Перед этим администратор контейнеров проверяет свой набор правил, если ресурс разрешен в текущих условиях. Доступ приложением может быть отклонен, если ресурс не разрешен.
[0138] В некоторых вариантах осуществления, фокус может быть предоставлен конкретному контейнеру или контейнерам. В частности, для устройств конечного пользователя с несколькими контейнерами конечный пользователь может перевести в фокус один или другой контейнер. Тогда контейнер в фокусе должен иметь приоритет в случае конфликтов доступа, и администратор контейнеров может принять это во внимание при оценивании своего набора правил.
[0139] Как указано выше, администратор контейнеров может представлять собой свой собственный аппаратный блок внутри устройства, или он может представлять собой набор кодированных инструкций в памяти устройства, который, при исполнении процессором устройства, побуждает устройство выполнять функции администраторов контейнеров. В последнем случае также регистры и т.д., используемые администратором контейнеров, находятся в памяти устройства.
[0140] Кроме того, администратор контейнеров может быть уровнем поверх OS устройства, или он может содержать функции OS или даже полностью заменять операционную систему устройства. Это не зависит от того, реализован ли администратор контейнеров как программное обеспечение или как аппаратный блок.
[0141] На фиг. 7-9 показаны различные архитектуры устройства в соответствии с различными альтернативными вариантами осуществления раскрытого предмета. В варианте осуществления, показанном на фиг. 7, устройство 700 содержит процессор 710, память 715, оперативно связанную с процессором 710, интерфейс 720 ввода/вывода (IO) и сетевой интерфейс 725. В варианте осуществления согласно фиг. 8, устройство 800 аналогично устройству 700, за исключением того, что оно дополнительно содержит модуль 805 управления контейнером, операционно связанный с процессором 710 и памятью 715, интерфейсом 720 IO и сетевым интерфейсом 725. В варианте осуществления, показанном на фиг. 9, устройство 900 содержит признаки, которые совместно функционируют как администратор контейнеров, как описано в настоящем документе. В частности, устройство 900 содержит регистр 905 контейнера/декларации (или ʺрегистр среза контейнераʺ), который включает в себя указатель на контейнер в фокусе. Указатель, также называемый ʺуказателем фокуса контейнераʺ, указывает запись в регистре 905 на основе фокуса, предоставленного оператором/пользователем, и устройство 900 предоставляет приоритет указанной записи при оценивании набора правил, сгенерированного администратором контейнеров. Регистр 905 контейнера/декларации операционно связан с процессором 910 и памятью 915. Процессор 910 операционно связан с интерфейсом 920 контейнеров, интерфейсом 925 сетевых срезов и интерфейсом 930 ресурсов устройства.
[0142] Если администратор контейнеров реализован в виде одной или нескольких функций программного обеспечения, процессор и память фактически могут быть процессором и памятью устройства. Тот же принцип может применяться для регистра декларации контейнера с указателем фокуса. В случае администраторов контейнеров, реализуемого аппаратными средствами, процессор и память могут быть частями модуля управления контейнером.
[0143] Администратор контейнеров может иметь регистр контейнера/декларации, где декларация хранится для каждого контейнера. Регистр может также включать в себя набор правил для контейнера, настройки конфигурации и другие конкретные подробности для контейнера. Собственный выделенный процессор администраторов контейнеров или процессор устройства исполняет набор кодированных инструкций в собственной памяти администраторов контейнеров или памяти устройства. Исполняемые кодированные инструкции выполняют функции администраторов контейнеров.
[0144] Примерные функции администраторов контейнеров включают в себя следующее: (a) создание среды контейнера в устройстве, (b) добавление, модификацию или удаление контейнеров, управляемых посредством деклараций контейнеров, (c) добавление, модифицирование или удаление приложений, управляемых посредством деклараций контейнеров, (d) конфигурацию ресурсов устройства, (е) соединение контейнеров с соответствующими сетевыми срезами, (f) обработку связи между приложениями в контейнере и сетевым срезом и (g) обработку связи между приложениями и ресурсами устройства.
[0145] Фиг. 10 иллюстрирует способ 1000 эксплуатации устройства, содержащего среду контейнеров и администратор контейнеров, согласно варианту осуществления раскрытого предмета. Такой способ может быть выполнен, например, с помощью устройства, описанного в связи с одной или несколькими из фиг. 1-9. В таких вариантах осуществления, способ может быть реализован по меньшей мере с помощью соответствующей комбинации схем обработки и памяти, совместно сконфигурированных для выполнения или обеспечения возможности указанных функциональных возможностей. Кроме того, в некоторых вариантах осуществления, способ может быть реализован модулями, причем модуль содержит любую подходящую комбинацию аппаратных средств и/или программного обеспечения, сконфигурированного для выполнения или обеспечения возможности указанных функциональных возможностей.
[0146] Как показано на фиг. 10, способ содержит обеспечение среды контейнеров, содержащей множество контейнеров, каждый из которых содержит одно или несколько приложений и каждый из которых выполнен с возможностью соединения с сетевым срезом (S1005), и эксплуатацию администраторов контейнеров для управления связью между приложениями и сетевыми срезами, при этом администратор контейнеров запрещает связь между первым приложением в первом контейнере и вторым приложением во втором контейнере (S1010). Обеспечение среды контейнеров может включать в себя любой механизм или функциональную возможность, которые приводят к работе среды контейнеров. Например, обеспечение может быть достигнуто посредством конфигурирования аппаратных средств и/или программного обеспечения для среды контейнеров и/или сохранения и/или исполнения инструкций для управления средой контейнеров. Аналогично, эксплуатация администраторов контейнеров может содержать любой механизм или функциональную возможность, которые приводят к управлению связью между приложениями и сетевыми срезами, как описано.
[0147] В некоторых связанных вариантах осуществления, устройство связи дополнительно содержит ресурсы устройства, и способ дополнительно включает в себя эксплуатацию администраторов контейнеров для управления доступом приложений к ресурсам устройства.
[0148] В определенных связанных вариантах осуществления, приложения в различных контейнерах совместно используют ресурсы устройства.
[0149] В определенных связанных вариантах осуществления, каждый контейнер ассоциирован точно с одним сетевым срезом в данный момент времени. В некоторых таких вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование выделенного имени точки доступа (APN) для сетевого среза. В других таких вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование зашифрованной связи между контейнером и сетевым срезом посредством совместно используемого имени точки доступа (APN). В других таких вариантах осуществления, ассоциация между контейнером и сетевым срезом содержит использование туннелирования между контейнером и сетевым срезом.
[0150] В некоторых связанных вариантах осуществления, каждый контейнер использует свой собственный электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
[0151] В некоторых связанных вариантах осуществления, по меньшей мере два из контейнеров используют один и тот же электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
[0152] В некоторых связанных вариантах осуществления, по меньшей мере два из сетевых срезов обслуживаются одним и тем же оператором.
[0153] В некоторых связанных вариантах осуществления, по меньшей мере один из сетевых срезов соответствует виртуальному оператору.
[0154] В некоторых связанных вариантах осуществления, администратор контейнеров определяет правила по каждому контейнеру и управляет связью между контейнерами таким образом, что связь разрешена между приложениями в одном и том же контейнере и запрещена между приложениями в различных контейнерах.
[0155] В некоторых связанных вариантах осуществления, беспроводное устройство дополнительно содержит ресурсы устройства, причем каждый из контейнеров имеет политику конфигурации контейнера, которая управляет доступом контейнера к ресурсам устройства.
[0156] В некоторых связанных вариантах осуществления, контейнеры работают параллельно.
[0157] В некоторых связанных вариантах осуществления, способ дополнительно содержит прием декларации для контейнера через интерфейс сетевого среза, генерирование по меньшей мере одного контейнера, как определено декларацией, генерирование набора правил для сгенерированного контейнера согласно ограничениям в декларации, установление соединения между сгенерированным контейнером и соответствующим сетевым срезом и управление связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил. В некоторых таких вариантах осуществления, способ дополнительно содержит сохранение декларации в регистре среза контейнера вместе со сгенерированным набором правил. В некоторых таких вариантах осуществления, способ дополнительно содержит поддержку указателя фокуса контейнера, указывающего запись в регистре среза контейнера, на основе фокуса, предоставленного оператором/пользователем, и присвоение приоритета указанной записи при оценивании набора правил.
[0158] Фиг. 11 иллюстрирует способ администрирования контейнеров в устройстве, содержащем среду контейнеров и администратор контейнеров, среда контейнера содержит множество контейнеров, каждый из которых содержит одно или несколько приложений, причем каждый контейнер выполнен с возможностью соединения с сетевым срезом. Способ может быть выполнен с помощью устройства, такого как показанное, например, на любой из фиг. 2-5.
[0159] Как показано на фиг. 11, способ содержит прием декларации для контейнера через интерфейс сетевого среза (S1105), генерацию контейнера в соответствии с декларацией (S1110), генерацию набора правил для сгенерированного контейнера в соответствии с ограничениями в декларации (S1115), установление соединения между сгенерированным контейнером и соответствующим сетевым срезом (S1120) и управление связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил (S1125).
[0160] В некоторых связанных вариантах осуществления, способ дополнительно содержит сохранение декларации в регистре среза контейнера. В некоторых других связанных вариантах осуществления, способ дополнительно содержит поддержку указателя фокуса контейнера, указывающего запись в регистре среза контейнера, на основе фокуса, предоставленного оператором/пользователем, и присвоение приоритета указанной записи при оценивании набора правил.
[0161] В настоящем письменном описании используются, в числе прочих, следующие аббревиатуры:
2G, 3G, 4G - второе, третье, четвертое поколения определенных 3GPP технологий радиодоступа
3GPP - Проект партнерства третьего поколения
APN - имя точки доступа
BIOS - базовая система ввода/вывода
DMA - прямой доступ к памяти
DSL - цифровая абонентская линия
GPRS - пакетная радиосвязь общего пользования
GPS - система глобального позиционирования
GUI - графический пользовательский интерфейс
IMEI - международный идентификатор мобильного оборудования
IOT - Интернет вещей
LAN - локальная сеть
LTE - Долгосрочное развитие
MAC - управление доступом к среде
NFC - связь в ближней зоне
OS - операционная система
PC - персональный компьютер
QoS - качество обслуживания
SIM - модуль идентификации абонента, также обозначенный как USIM/UICC
SLA - соглашение об уровне услуг
SD - карта памяти
UE - пользовательское оборудование
USB - универсальная последовательная шина
WIFI - беспроводная точность
[0162] Хотя раскрытый предмет был представлен выше со ссылкой на различные варианты осуществления, следует понимать, что различные изменения в форме и деталях могут быть выполнены в описанных вариантах осуществления без отклонения от общего объема раскрытого предмета.

Claims (66)

1. Устройство (405) для администрирования контейнеров, содержащее:
среду контейнеров, содержащую множество контейнеров, каждый из которых содержит одно или несколько приложений, и отличающуюся тем, что:
каждый контейнер ассоциирован точно с одним сетевым срезом, уникально идентифицирующим данную ассоциацию; и
администратор контейнеров, сконфигурированный для управления связью между приложениями и сетевыми срезами, при этом администратор контейнеров запрещает связь между первым приложением в первом контейнере и вторым приложением во втором контейнере.
2. Устройство по п. 1, дополнительно содержащее ресурсы устройства, причем администратор контейнеров управляет доступом приложений к ресурсам устройства.
3. Устройство по п. 2, в котором приложения в различных контейнерах совместно используют ресурсы устройства.
4. Устройство по любому из пп. 1-3, в котором каждый контейнер ассоциирован точно с одним сетевым срезом в данный момент времени.
5. Устройство по п. 4, в котором ассоциация между контейнером и сетевым срезом содержит использование выделенного имени точки доступа (APN) для сетевого среза.
6. Устройство по п. 4, в котором ассоциация между контейнером и сетевым срезом содержит использование зашифрованной связи между контейнером и сетевым срезом посредством совместно используемого имени точки доступа (APN).
7. Устройство по п. 4, в котором ассоциация между контейнером и сетевым срезом содержит использование туннелирования между контейнером и сетевым срезом.
8. Устройство по любому из пп. 1-7, в котором каждый контейнер использует свой собственный электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
9. Устройство по любому из пп. 1-7, в котором по меньшей мере два из контейнеров используют один и тот же электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
10. Устройство по любому из пп. 1-9, в котором по меньшей мере два из сетевых срезов обслуживаются одним и тем же оператором.
11. Устройство по любому из пп. 1-10, в котором по меньшей мере один из сетевых срезов соответствует виртуальному оператору.
12. Устройство по любому из пп. 1-11, в котором администратор контейнеров определяет правила по каждому контейнеру и управляет связью между контейнерами таким образом, что связь разрешена между приложениями в одном и том же контейнере и запрещена между приложениями в различных контейнерах.
13. Устройство по любому из пп. 1-12, дополнительно содержащее ресурсы устройства, причем каждый из контейнеров имеет политику конфигурации контейнера, которая управляет доступом контейнера к ресурсам устройства.
14. Устройство по любому из пп. 1-13, в котором контейнеры работают параллельно.
15. Устройство по любому из пп. 1-14, дополнительно содержащее:
операционную систему устройства; и
множество операционных систем контейнеров, каждая из которых ассоциирована с соответствующим контейнером из множества контейнеров.
16. Устройство по любому из пп. 1-15, в котором администратор контейнеров содержит:
регистр, содержащий информацию, которая идентифицирует ассоциацию между контейнерами и сетевыми срезами;
интерфейсы к контейнерам и сетевым срезам; и
память, хранящую закодированные инструкции, которые, при исполнении процессором администратора контейнеров, предписывают администратору контейнеров:
принимать декларацию для контейнера через интерфейс сетевого среза;
генерировать по меньшей мере один контейнер, как определено декларацией;
генерировать набор правил для сгенерированного контейнера в соответствии с ограничениями в декларации;
устанавливать соединение между сгенерированным контейнером и соответствующим сетевым срезом; и
управлять связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил.
17. Устройство по п. 16, в котором инструкции предписывают администратору контейнеров сохранять декларацию в регистре среза контейнера вместе со сгенерированным набором правил.
18. Устройство по п. 16, в котором инструкции предписывают администратору контейнеров поддерживать указатель фокуса контейнера, указывающий запись в регистре среза контейнера, на основе фокуса, обеспеченного оператором/пользователем, и присваивать приоритет указанной записи при оценивании набора правил.
19. Способ (1100) администрирования контейнеров в устройстве (400), содержащем среду контейнеров и администратор контейнеров, причем среда контейнеров содержит множество контейнеров, каждый из которых содержит одно или несколько приложений, и отличается тем, что:
каждый контейнер ассоциирован точно с одним сетевым срезом, уникально идентифицирующим данную ассоциацию,
причем способ содержит:
прием декларации для контейнера через интерфейс сетевого среза (S1105);
сохранение декларации в регистре среза контейнера;
генерацию контейнера в соответствии с декларацией (S1110);
генерацию набора правил для сгенерированного контейнера в соответствии с ограничениями в декларации (S1115);
установление соединения между сгенерированным контейнером и соответствующим сетевым срезом (S1120); и
управление связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил (S1125).
20. Способ по п. 19, дополнительно содержащий поддержку указателя фокуса контейнера, указывающего запись в регистре среза контейнера на основе фокуса, обеспеченного оператором/пользователем, и присвоение приоритета указанной записи при оценивании набора правил.
21. Способ (1000) эксплуатации устройства (400) связи для администрирования контейнеров, содержащий:
обеспечение среды контейнеров, содержащей множество контейнеров, каждый из которых содержит одно или несколько приложений, и отличающейся тем, что:
каждый контейнер ассоциирован точно с одним сетевым срезом (S1005), уникально идентифицирующим данную ассоциацию; и
эксплуатацию администратора контейнеров для управления связью между приложениями и сетевыми срезами, при этом администратор контейнеров запрещает связь между первым приложением в первом контейнере и вторым приложением во втором контейнере (S1010).
22. Способ по п. 21, в котором устройство связи дополнительно содержит ресурсы устройства, и способ дополнительно содержит эксплуатацию администратора контейнеров для управления доступом приложений к ресурсам устройства.
23. Способ по п. 22, в котором приложения в различных контейнерах совместно используют ресурсы устройства.
24. Способ по любому из пп. 21-23, в котором каждый контейнер ассоциирован точно с одним сетевым срезом в данный момент времени.
25. Способ по п. 24, в котором ассоциация между контейнером и сетевым срезом содержит использование выделенного имени точки доступа (APN) для сетевого среза.
26. Способ по п. 24, в котором ассоциация между контейнером и сетевым срезом содержит использование зашифрованной связи между контейнером и сетевым срезом посредством совместно используемого имени точки доступа (APN).
27. Способ по п. 24, в котором ассоциация между контейнером и сетевым срезом содержит использование туннелирования между контейнером и сетевым срезом.
28. Способ по любому из пп. 21-27, в котором каждый контейнер использует свой собственный электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
29. Способ по любому из пп. 21-27, в котором по меньшей мере два из контейнеров используют один и тот же электронный модуль идентификации абонента (eSIM) для доступа к учетным данным для аутентификации и/или авторизации.
30. Способ по любому из пп. 21-29, в котором по меньшей мере два из сетевых срезов обслуживаются одним и тем же оператором.
31. Способ по любому из пп. 21-30, в котором по меньшей мере один из сетевых срезов соответствует виртуальному оператору.
32. Способ по любому из пп. 21-31, в котором администратор контейнеров определяет правила по каждому контейнеру и управляет связью между контейнерами таким образом, что связь разрешена между приложениями в одном и том же контейнере и запрещена между приложениями в различных контейнерах.
33. Способ по любому из пп. 21-32, в котором беспроводное устройство дополнительно содержит ресурсы устройства, причем каждый из контейнеров имеет политику конфигурации контейнера, которая управляет доступом контейнера к ресурсам устройства.
34. Способ по любому из пп. 21-33, в котором контейнеры работают параллельно.
35. Способ по любому из пп. 21-34, дополнительно содержащий:
прием декларации для контейнера через интерфейс сетевого среза;
генерацию по меньшей мере одного контейнера, как определено декларацией;
генерацию набора правил для сгенерированного контейнера в соответствии с ограничениями в декларации;
установление соединения между сгенерированным контейнером и соответствующим сетевым срезом; и
управление связью между сгенерированным контейнером и соответствующим сетевым срезом в соответствии со сгенерированным набором правил.
36. Способ по п. 35, дополнительно содержащий сохранение декларации в регистре среза контейнера вместе со сгенерированным набором правил.
37. Способ по п. 35, дополнительно содержащий поддержку указателя фокуса контейнера, указывающего запись в регистре среза контейнера на основе фокуса, обеспеченного оператором/пользователем, и присвоение приоритета указанной записи при оценивании набора правил.
RU2018140079A 2016-04-15 2017-04-03 Контейнеры пользовательского оборудования и сетевые срезы RU2710879C1 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662323349P 2016-04-15 2016-04-15
US62/323,349 2016-04-15
PCT/IB2017/051896 WO2017178921A1 (en) 2016-04-15 2017-04-03 User equipment containers and network slices

Publications (1)

Publication Number Publication Date
RU2710879C1 true RU2710879C1 (ru) 2020-01-14

Family

ID=58549180

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018140079A RU2710879C1 (ru) 2016-04-15 2017-04-03 Контейнеры пользовательского оборудования и сетевые срезы

Country Status (6)

Country Link
US (1) US11323478B2 (ru)
EP (1) EP3437306B1 (ru)
CN (2) CN109076102B (ru)
RU (1) RU2710879C1 (ru)
TW (1) TWI652925B (ru)
WO (1) WO2017178921A1 (ru)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4096189A1 (en) * 2017-03-24 2022-11-30 Huawei Technologies Co., Ltd. Network slice configuration method, apparatus, and system
US10484886B2 (en) * 2017-05-05 2019-11-19 Qualcomm Incorporated Method for broadcast information on supported and non-supported slices
CN109560952B (zh) * 2017-09-27 2021-04-09 华为技术有限公司 一种网络切片管理方法及设备
US11382163B2 (en) 2017-12-19 2022-07-05 At&T Intellectual Property I, L.P. Instantiating intelligent service delivery parameters within protected hardware
CN111919474B (zh) * 2018-02-02 2024-02-06 瑞典爱立信有限公司 Ims中的网络分片
JP6845168B2 (ja) * 2018-02-27 2021-03-17 日本電信電話株式会社 通信システム、及びスライス制御方法
TWI699095B (zh) * 2019-04-29 2020-07-11 宏碁股份有限公司 藍牙配對方法及電子系統
US11354145B2 (en) * 2019-08-28 2022-06-07 International Business Machines Corporation Creating process fingerprints based on virtualized containers for determining software product usage
US11184381B2 (en) 2020-01-08 2021-11-23 Bank Of America Corporation Real-time validation of application data
US11297085B2 (en) * 2020-01-08 2022-04-05 Bank Of America Corporation Real-time validation of data transmissions based on security profiles
US11627152B2 (en) 2020-01-08 2023-04-11 Bank Of America Corporation Real-time classification of content in a data transmission
CN115004741B (zh) * 2020-02-04 2023-09-29 高通股份有限公司 用于网络切片选择的基于证书的应用描述符
CN117118841A (zh) * 2020-06-28 2023-11-24 中兴通讯股份有限公司 网络切片连接管理方法、终端及计算机可读存储介质
US20220035685A1 (en) * 2020-08-03 2022-02-03 Juniper Networks, Inc. Device access control for applications of multiple containers
US20230247541A1 (en) * 2020-08-03 2023-08-03 Beijing Xiaomi Mobile Software Co., Ltd. Service slice activation method and service slice activation apparatus, and storage medium
US11836225B1 (en) * 2020-08-26 2023-12-05 T-Mobile Innovations Llc System and methods for preventing unauthorized replay of a software container
EP3968570A1 (en) 2020-09-09 2022-03-16 Hewlett Packard Enterprise Development LP Controlling equipment access to slices in a 5g network
CN113015164B (zh) * 2021-02-24 2022-09-30 中国联合网络通信集团有限公司 应用程序认证方法及装置
CN113115329B (zh) * 2021-03-16 2022-11-18 中国人民解放军战略支援部队信息工程大学 基于容器的网络切片实例部署装置及方法
CN113133072B (zh) * 2021-04-13 2022-11-29 北京字节跳动网络技术有限公司 控制终端的方法、装置、终端及存储介质
CN113840312B (zh) * 2021-10-25 2023-09-05 全球能源互联网研究院有限公司 一种5g网络切片业务的配置方法及装置
US11751058B2 (en) 2022-01-14 2023-09-05 T-Mobile Innovations Llc 5G network slice device security protection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012054016A1 (en) * 2010-10-19 2012-04-26 Hewlett-Packard Development Company, L.P. Methods and systems for generation of authorized virtual appliances
US20120324069A1 (en) * 2011-06-17 2012-12-20 Microsoft Corporation Middleware Services Framework for On-Premises and Cloud Deployment
RU2538911C2 (ru) * 2011-07-25 2015-01-10 Сони Компьютер Энтертейнмент Америка Ллк Способ и система для эффективной загрузки пакета данных
RU2571364C2 (ru) * 2010-06-24 2015-12-20 Интернэшнл Бизнес Машинз Корпорейшн Способ и компьютерная система для скрывания выбранных установленных функций многофункциональной команды

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2223556B1 (en) * 2007-12-05 2016-04-27 Telefonaktiebolaget LM Ericsson (publ) Allocation of resources to shared spectrum operators
US9552497B2 (en) * 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US8566653B2 (en) * 2009-12-22 2013-10-22 At&T Intellectual Property I, L.P. Infrastructure for rapid service deployment
US8767597B2 (en) * 2011-11-18 2014-07-01 The University Of Tokyo Wireless communication apparatus
CN102611690A (zh) * 2011-12-22 2012-07-25 南京邮电大学 一种基于超文本传输协议流化的容器格式转化方法
TW201443775A (zh) 2013-05-02 2014-11-16 Enterproid Hk Ltd 用於客製化應用程式容器的用途測量
KR20160043029A (ko) * 2013-08-12 2016-04-20 그라파이트 소프트웨어 코포레이션 보안 인증 및 암호화된 도메인들로의 스위칭
US9992606B2 (en) * 2015-02-27 2018-06-05 Bank Of America Corporation Segmented network mobile device provisioning system
JP6388073B2 (ja) * 2015-03-13 2018-09-12 日本電気株式会社 通信装置とシステムと方法並びに割り当て装置とプログラム
US9775045B2 (en) * 2015-09-11 2017-09-26 Intel IP Corporation Slicing architecture for wireless communication
EP3391275A1 (en) * 2015-12-18 2018-10-24 Nokia Solutions and Networks Oy Trust based computing
AU2017228442B2 (en) * 2016-03-04 2020-11-05 Bladelogic, Inc. Provisioning of containers for virtualized applications

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2571364C2 (ru) * 2010-06-24 2015-12-20 Интернэшнл Бизнес Машинз Корпорейшн Способ и компьютерная система для скрывания выбранных установленных функций многофункциональной команды
WO2012054016A1 (en) * 2010-10-19 2012-04-26 Hewlett-Packard Development Company, L.P. Methods and systems for generation of authorized virtual appliances
US20120324069A1 (en) * 2011-06-17 2012-12-20 Microsoft Corporation Middleware Services Framework for On-Premises and Cloud Deployment
RU2538911C2 (ru) * 2011-07-25 2015-01-10 Сони Компьютер Энтертейнмент Америка Ллк Способ и система для эффективной загрузки пакета данных

Also Published As

Publication number Publication date
TWI652925B (zh) 2019-03-01
EP3437306B1 (en) 2023-11-22
TW201803323A (zh) 2018-01-16
WO2017178921A1 (en) 2017-10-19
US20180191782A1 (en) 2018-07-05
CN113949567B (zh) 2023-10-13
CN109076102A (zh) 2018-12-21
EP3437306A1 (en) 2019-02-06
CN109076102B (zh) 2021-11-05
US11323478B2 (en) 2022-05-03
CN113949567A (zh) 2022-01-18

Similar Documents

Publication Publication Date Title
RU2710879C1 (ru) Контейнеры пользовательского оборудования и сетевые срезы
US9882909B2 (en) System and method for application usage controls through policy enforcement
US8650620B2 (en) Methods and apparatus to control privileges of mobile device applications
US8898459B2 (en) Policy configuration for mobile device applications
US9531758B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
US8918841B2 (en) Hardware interface access control for mobile applications
US10693918B2 (en) Radio access technology based security in service provider networks
US9065800B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
US10587579B2 (en) Varying encryption level of traffic through network tunnels
US11812261B2 (en) System and method for providing a secure VLAN within a wireless network
US10785196B2 (en) Encryption key management of client devices and endpoints within a protected network
US20120124641A1 (en) Methods related to network access redirection and control and devices and systems utilizing such methods
US11558313B2 (en) Systems and methods for configuring an application platform using resources of a network
US11165605B2 (en) Personalized private roaming service set identifiers
US11411773B2 (en) Network caching of outbound content from endpoint device to prevent unauthorized extraction
US11743724B2 (en) System and method for accessing a privately hosted application from a device connected to a wireless network