TWI625951B - 使用用於服務c平面方法的網路符記的高效策略實施 - Google Patents
使用用於服務c平面方法的網路符記的高效策略實施 Download PDFInfo
- Publication number
- TWI625951B TWI625951B TW105104337A TW105104337A TWI625951B TW I625951 B TWI625951 B TW I625951B TW 105104337 A TW105104337 A TW 105104337A TW 105104337 A TW105104337 A TW 105104337A TW I625951 B TWI625951 B TW I625951B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- network token
- token
- client device
- packet
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1485—Tariff-related aspects
- H04L12/1496—Tariff-related aspects involving discounts
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/215—Flow control; Congestion control using token-bucket
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/10—Flow control between communication endpoints
- H04W28/12—Flow control between communication endpoints using signalling between network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一種設備使用控制平面訊號傳遞來建立與一或多個應用相關聯的流。閘道設備在該控制平面訊號傳遞期間,獲得針對網路符記的請求。閘道設備推導該網路符記,並且在控制平面訊號傳遞期間,將其發送給該設備及/或存取節點。該設備及/或存取節點獲得該網路符記,其中該網路符記與該一或多個流中的第一流、該一或多個應用中的第一應用相關聯,並且經由控制平面訊號傳遞被提供給該設備或者存取節點。該網路符記可以被包括在從該設備在使用者平面中發送的封包中。該網路符記可以在存取節點及/或閘道設備處使用加密函數來驗證,並且基於該驗證的結果被發送到其目的地。
Description
本專利申請案請求享受於2015年2月24日向美國專利和商標局提交的臨時申請第62/120,135號和於2015年8月21日向美國專利和商標局提交的非臨時申請第14/832,965號的優先權和權益。
大體而言,一個態樣係關於網路符記,並且更特定而言,係關於對與資料流相關聯的網路符記的推導、提供和使用,以促進封包引導及/或驗證設備正在存取僅僅授權的應用服務。
一些客戶端設備可能具有網路存取,但是其網路存取可能被限制到一組應用服務。在一個實例中,客戶端設備的網路存取可以由特定的應用服務提供者贊助。客戶端設備可能被限制到由應用服務提供者在其伺服器上執行的應用服務。在另一個實例中,具有網路存取的客戶端設備可以是允許對與給定的應用服務相關聯的資料(例如,服務品質的位
元速率)進行特殊計費或者處理的合約的一部分。例如,客戶端設備可以具有經由蜂巢提供商的蜂巢訂閱,並且該蜂巢提供商可能希望對客戶端設備施加一或多個約束。在一個實例中,現今被稱為社交媒體提供商而不被稱為蜂巢提供商的公司,可以扮演蜂巢提供商的角色。在該實例中,客戶端設備可以具有與該公司的訂閱。作為其訂閱協定的一部分,客戶端設備可以獲得對網際網路的存取,但是可能局限於使用該公司的社交媒體網站,而把其他社交媒體網站排除在外。經由另一個實例,客戶端設備可以具有與流媒體服務提供者的訂閱。在該實例中,作為協定的一部分,客戶端設備可以經由各個蜂巢提供商來獲得對於網際網路的存取,但是可能被(該流媒體服務提供者和各個蜂巢提供商及/或該客戶端設備的使用者之間的)協定限制為針對所有流媒體服務皆使用該媒體服務提供者的網站。經由另一個實例,對於某些存取點名稱(APN)來說,基於策略或者訂閱限制,只允許從客戶端設備發送某些傳輸量。
可以結合應用服務來制定策略以確保客戶端設備不違反任何協定,提供其對於給定的應用服務的存取,及/或向其提供所商定的服務水平。例如,可以針對從客戶端設備朝向封包資料網路(例如,網際網路)上的伺服器發送的上行鏈路(UL)封包,來實施此種策略。
現今,在至網路的閘道處,發生針對應用服務的策略實施。此種閘道的示例是封包資料網路閘道(P-GW),該P-GW充當網路核心(例如,進化型封包核心(EPC))和封
包資料網路(例如,網際網路)之間的閘道。存在一個問題:服務存取策略的實施可能需要P-GW對從客戶端設備發送的所有UL封包進行確認。此外,可能需要經由特定的承載,將每一個UL封包引導到其目的位址。
可能需要在P-GW處對UL封包進行確認,以確保客戶端設備只向授權的應用服務發送封包。確認可以包括:對經過該P-GW的封包的目的位址,或者目的位址和埠號進行驗證。另外,對於反欺騙來說,對於每一個封包的源位址進行驗證可能是有用的(例如,藉由防止來自未授權的客戶端設備的封包藉由好像來自授權的客戶端設備,來欺騙系統)。可能需要封包引導來確保實現所商定的服務品質(QoS)。
當前的實務招致大量的管理負擔,並且由於處理延遲而增加轉發延時。當前的實務通常是使用封包檢查(例如,深度包偵測、淺度包檢查)和傳輸量流範本(TFT)以及服務資料流(SDF)範本來實現的。P-GW藉由檢查每一個封包的標頭,來確認UL封包符合針對該服務規定的TFT/SDF範本。
精細策略控制(例如,每一應用)是困難的,這是由於另外的策略控制將招致另外的管理負擔和處理延遲,因為需要針對由TFT/SDF範本實現的另外的過濾規則來對封包進行測試。此外,對於贊助的連接來說,對TFT/SDF範本的使用是不可擴展的。不同服務的贊助者的數量的增加(在未來幾年裡,或許數以千計的服務),意味著經由相應增加數量的TFT/SDF範本對封包進行過濾需要的時間的增加。此種情形
會再次招致另外的管理負擔和處理延遲。
所需要的是一種用於增補及/或增強封包檢查的替代方案。
根據一個態樣,一種方法可以在設備處操作。該方法可以包括:使用控制平面訊號傳遞來建立與一或多個應用相關聯的一或多個流的集合,以及在該設備處,在該控制平面訊號傳遞期間獲得第一網路符記。第一網路符記可以是與一或多個流的集合中的第一流相關聯的,與一或多個應用中的第一應用相關聯的,以及經由控制平面訊號傳遞被提供給該設備的。該方法亦可以包括:利用與該第一流相關聯的封包來從該設備發送該第一網路符記。根據一些態樣,該方法可以包括:利用從該設備發送的與該第一流相關聯的每一個封包來從該設備發送該第一網路符記。可以根據網路存取策略來推導該第一網路符記。可以使用第一網路符記來將第一流中的封包引導到第一應用。
可以回應於針對該第一網路符記的顯式或者隱式請求,提供該第一網路符記。該隱式請求可以包括下列各項中的一項:封包資料網路(PDN)連接請求訊息、專用承載啟動請求訊息或者承載修改請求訊息。
根據一些態樣,第一網路符記可以用網際網路協定(IP)層和媒體存取控制(MAC)層之間的仲介層中的仲介標頭、封包資料彙聚協定(PDCP)標頭,及/或在IP版本6(IPv6)中規定的IP擴展標頭,從該設備傳輸至閘道設備。當用
仲介標頭來傳輸時,第一網路符記對於存取節點可以是透明的。根據一些態樣,第一網路符記可以用網際網路協定(IP)層和媒體存取控制(MAC)層之間的仲介層中的仲介標頭及/或封包資料彙聚協定(PDCP)標頭,從該設備傳輸至存取節點。
根據一些態樣,第二網路存取符記可以在設備處,在控制平面訊號傳遞期間獲得。第二網路符記可以是由與推導第一符記的第一設備不同的第二設備推導的。其可以與一或多個流的集合中的第一流相關聯、與一或多個應用中的第一應用相關聯,以及經由控制平面訊號傳遞被提供給該設備。
該設備可以包括網路介面和被耦合到該網路介面的處理電路。該處理電路可以被配置為:使用控制平面訊號傳遞來建立與一或多個應用相關聯的一或多個流的集合,在該設備處,在該控制平面訊號傳遞期間獲得網路符記,其中該網路符記與一或多個流的集合中的第一流相關聯,與該一或多個應用中的第一應用相關聯,以及經由該控制平面訊號傳遞被提供給該設備。
根據一個態樣,一種在閘道設備處操作的方法可以包括:在閘道設備處,在與和客戶端設備相關聯的資料連接建立、啟動或者修改相關聯的控制平面訊號傳遞期間,獲得針對網路符記的請求。該方法亦可以包括:在該閘道設備處,根據存取策略來推導該網路符記、該網路符記與流和應用服務相關聯,以及在該控制平面訊號傳遞期間,經由控制平
面訊號傳遞,向客戶端設備或者與該客戶端設備相關聯的存取節點發送該網路符記。該網路符記可以被用來在經由該閘道設備在網路上進行傳輸期間,在該客戶端設備和該應用服務之間引導經過的封包。針對該網路符記的請求可以是顯式的。針對該網路符記的請求可以是隱式的。當在該閘道設備處獲得封包資料網路(PDN)連接請求、專用承載啟動請求或者承載修改請求時,可以隱式地辨識出該請求。
根據一個態樣,對該網路符記的推導可以是基於特定於該客戶端設備所附著的存取節點的秘密金鑰的。根據此種態樣的方法可以包括:向該存取節點發送該秘密金鑰。
根據一個態樣,該網路符記可以被推導成上行鏈路網路符記和與該上行鏈路網路符記不同的下行鏈路網路符記。對該上行鏈路網路符記的推導可以是基於對於該閘道設備已知的金鑰的並且基於與該客戶端設備相關聯的參數的。對該下行鏈路網路符記的推導可以是基於對於該閘道設備已知的金鑰並且基於與應用伺服器相關聯的參數的。根據此種態樣,該方法可以包括:向該客戶端設備發送該上行鏈路網路符記和該下行鏈路網路符記。
根據一個態樣,閘道設備可以獲得包括該網路符記的第一封包。該閘道設備可以在不使用封包檢查的情況下,使用與利用第一封包包括的網路符記相關聯的資料來在該客戶端設備和該應用服務之間引導該第一封包。閘道設備可以使用對於該閘道設備已知的金鑰來對網路符記進行驗證。若該驗證是不成功的,則閘道設備可以藉由丟棄包括該網路符
記的第一封包來行動。若該驗證是成功的,則閘道設備可以在不使用封包檢查的情況下,藉由使用利用第一封包包括的該網路符記來在該客戶端設備和該應用服務之間引導第一封包。對該網路符記進行驗證可以包括:根據具有包括下列各項的輸入參數的集合的函數來推導驗證網路符記:對於該閘道設備已知的金鑰,以及網路符記參數索引、源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或服務品質類別辨識符(QCI)。隨後,驗證亦可以包括:將該網路符記與該驗證網路符記進行比較。在一些態樣中,該網路符記參數索引、源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或服務品質類別辨識符(QCI)是從該封包獲得的。
根據一些態樣,一種方法可以包括:在對該網路符記進行驗證之前,辨識網路符記參數索引,其中該網路符記參數索引規定了輸入參數清單。此種方法亦可以包括:根據具有作為輸入的、對於該閘道設備已知的金鑰和該輸入參數清單的函數,來推導驗證網路符記。該網路符記參數索引可以規定應用辨識符(ID)。該輸入參數清單可以被儲存在該閘道設備中的表格中。該網路符記可以用與IP標頭分離的仲介標頭來攜帶。該網路符記可以用通用封包式無線電服務(GPRS)隧道協定(GTP)標頭來攜帶。該網路符記可以用在網際網路協定(IP)版本6(IPv6)中規定的IP擴展標頭來攜帶。
根據一個態樣,一種閘道設備可以包括網路介面和被耦合到該網路介面的處理電路。該處理電路可以被配置為:在與和客戶端設備相關聯的資料連接建立、啟動或者修改相關聯的控制平面訊號傳遞期間,獲得針對網路符記的請求,根據存取策略來獲得該網路符記,該網路符記與流和應用服務相關聯,以及在該控制平面訊號傳遞期間,經由控制平面訊號傳遞,向該客戶端設備或者向與該客戶端設備相關聯的存取節點發送該網路符記。
根據一些態樣,一種在存取節點處操作的方法可以包括:在該存取節點處,在控制平面訊號傳遞期間,獲得網路符記。該網路符記可以與一或多個流的集合中的第一流相關聯,與一或多個應用中的第一應用相關聯,以及經由該控制平面訊號傳遞被提供給該存取節點。該方法亦可以包括:利用與該第一流相關聯的封包來從該存取節點發送該網路符記。該方法亦可以包括:利用與該第一流相關聯的每一個封包來從該存取節點發送該網路符記。該網路符記可以與和該一或多個應用相關聯的一或多個流的集合相關聯。
根據另一個態樣,一種在存取節點處操作的方法可以包括:用控制平面訊號傳遞,從閘道設備獲得特定於該存取節點的秘密金鑰。該方法亦可以包括:用使用者平面訊號傳遞,在該存取節點處從客戶端設備獲得封包,該封包包括網路符記。該存取節點可以藉由使用從該閘道設備獲得的特定於該存取節點的秘密金鑰來對該網路符記進行驗證,並且若該網路符記是經驗證的,則向該閘道設備發送該封包和該
網路符記,或者若該網路符記是未經驗證的,則丟棄該封包和該網路符記來行動。該網路符記可以用通用封包式無線電服務(GPRS)隧道協定(GTP)標頭攜帶到該閘道設備。該網路符記可以從封包資料彙聚協定(PDCP)標頭複製到通用封包式無線電服務隧道協定標頭(GTP標頭),並且用該GTP標頭攜帶到該閘道設備。根據一些態樣,該網路符記用於實施與應用服務相關聯的存取策略,並且特定於該存取節點的該秘密金鑰用於在將在該存取節點處接收的封包發送給該閘道設備之前,對被包括在該封包中的該網路符記進行確認,以防止未經授權的封包到達該閘道設備。
根據一個態樣,一種存取節點可以包括網路介面和被耦合到該網路介面的處理電路。該處理電路可以被配置為:用控制平面訊號傳遞,從閘道設備獲得特定於該存取節點的秘密金鑰。該處理電路亦可以被配置為:用使用者平面訊號傳遞,在該存取節點處從客戶端設備獲得包括網路符記的封包。該處理電路亦可以被配置為:使用從該閘道設備獲得的特定於該存取節點的秘密金鑰來對該網路符記進行驗證,以及若該網路符記是經驗證的,則向該閘道設備發送該封包和該網路符記,或者若該網路符記是未經驗證的,則丟棄該封包和該網路符記。
根據一些態樣,一種在閘道設備處操作的方法可以包括:在該閘道設備處,從應用伺服器獲得封包。該封包可以包括下行鏈路網路符記。該方法可以包括:使用對於該閘道設備已知的金鑰來對該下行鏈路網路符記進行驗證,若該
驗證是不成功的,則丟棄該封包,以及若該驗證是成功的,則丟棄該下行鏈路網路符記,並且基於由該下行鏈路網路符記表示的參數來向客戶端設備發送該封包。該封包可以是網際網路協定(IP)資料封包。
100‧‧‧示例性操作環境
102‧‧‧客戶端設備
104‧‧‧客戶端設備
108‧‧‧無線存取網路(RAN)
110‧‧‧核心網路(CN)
112‧‧‧行動性管理實體(MME)
116‧‧‧服務閘道(S-GW)
118‧‧‧歸屬用戶伺服器(HSS)
120‧‧‧封包資料網路閘道(P-GW)
122‧‧‧封包資料網路(PDN)
124‧‧‧伺服器
126‧‧‧伺服器
128‧‧‧伺服器
130‧‧‧伺服器
200‧‧‧示例性上行鏈路操作
202‧‧‧客戶端設備
204‧‧‧存取節點
206‧‧‧服務閘道(S-GW)
208‧‧‧封包閘道(P-GW)
210‧‧‧封包資料網路(PDN)
212‧‧‧應用/應用服務
214‧‧‧IP流
216‧‧‧傳輸量流範本(TFT)
218‧‧‧承載
220‧‧‧決策和處理電路/功能單元/模組
222‧‧‧密碼確認和傳輸量引導電路/功能單元/模組
224‧‧‧服務資料流(SDF)範本
300‧‧‧示例性撥叫流程
302‧‧‧客戶端設備
304‧‧‧存取節點
306‧‧‧MME
308‧‧‧S-GW
310‧‧‧P-GW
312‧‧‧策略和計費規則功能(PCRF)
314‧‧‧歸屬用戶伺服器(HSS)
316‧‧‧發送
318‧‧‧發送
320‧‧‧發送
324‧‧‧執行
326‧‧‧獲得或者推導
328‧‧‧發送
330‧‧‧發送
332‧‧‧發送
334‧‧‧發送
400‧‧‧示例性撥叫流程
402‧‧‧客戶端設備
404‧‧‧存取節點
406‧‧‧MME
408‧‧‧S-GW
410‧‧‧P-GW
412‧‧‧PCRF
414‧‧‧HSS
416‧‧‧發送
418‧‧‧發送
420‧‧‧發送
424‧‧‧執行
426‧‧‧推導
428‧‧‧發送
430‧‧‧發送
432‧‧‧發送
434‧‧‧發送
500‧‧‧示例性撥叫流程
502‧‧‧客戶端設備
504‧‧‧存取節點
506‧‧‧MME
508‧‧‧S-GW
510‧‧‧P-GW
512‧‧‧PCRF
514‧‧‧HSS
516‧‧‧發送
518‧‧‧發送
520‧‧‧發送
524‧‧‧執行
526‧‧‧推導
528‧‧‧發送
530‧‧‧發送
532‧‧‧發送
534‧‧‧發送
600‧‧‧示例性撥叫流程
602‧‧‧客戶端設備
604‧‧‧存取節點
606‧‧‧MME
608‧‧‧S-GW
610‧‧‧P-GW
612‧‧‧PCRF
614‧‧‧HSS
616‧‧‧發送
618‧‧‧發送
620‧‧‧發送
624‧‧‧執行
626‧‧‧推導
628‧‧‧發送
630‧‧‧發送
632‧‧‧發送
633‧‧‧推導
634‧‧‧發送
700‧‧‧示例性撥叫流程
702‧‧‧客戶端設備
704‧‧‧存取節點
706‧‧‧MME
708‧‧‧S-GW
710‧‧‧P-GW
712‧‧‧PCRF
714‧‧‧HSS
715‧‧‧應用/應用服務/應用伺服器(APP)
716‧‧‧應用/應用服務/應用伺服器(APP)
718‧‧‧發送
720‧‧‧發送
724‧‧‧執行
726‧‧‧推導
728‧‧‧發送
730‧‧‧發送
732‧‧‧發送
802‧‧‧客戶端設備
818‧‧‧網際網路協定(IP)層
820‧‧‧仲介層
816‧‧‧封包資料彙聚協定(PDCP)層
814‧‧‧無線電鏈路控制(RLC)層
812‧‧‧媒體存取控制(MAC)層
810‧‧‧實體(PHY)層
860‧‧‧網路符記
836‧‧‧封包資料彙聚協定(PDCP)層
834‧‧‧無線電鏈路控制(RLC)層
832‧‧‧媒體存取控制(MAC)層
830‧‧‧實體(PHY)層
804‧‧‧存取節點
848‧‧‧GTP-U層
846‧‧‧使用者資料包通訊協定(UDP)層
844‧‧‧IP層
842‧‧‧MAC層
840‧‧‧乙太網路層
806‧‧‧閘道
824‧‧‧IP層
822‧‧‧仲介層
826‧‧‧GTP-U層
850‧‧‧乙太網路
808‧‧‧應用伺服器
858‧‧‧IP層
902‧‧‧客戶端設備
916‧‧‧PDCP層
960‧‧‧網路符記
936‧‧‧PDCP層
904‧‧‧存取節點
948‧‧‧GTP-U層
940‧‧‧乙太網路
906‧‧‧閘道
926‧‧‧GTP-U層
950‧‧‧乙太網路
908‧‧‧應用伺服器
1002‧‧‧客戶端設備
1004‧‧‧存取節點
1006‧‧‧閘道
1008‧‧‧應用伺服器
1026‧‧‧GTP-U層
1040‧‧‧乙太網路
1048‧‧‧GTP-U層
1050‧‧‧乙太網路
1060‧‧‧網路符記
1102‧‧‧客戶端設備
1104‧‧‧存取節點
1106‧‧‧閘道
1108‧‧‧應用伺服器
1112‧‧‧MAC層
1118‧‧‧IP層
1124‧‧‧IP層
1126‧‧‧GTP-U層
1136‧‧‧PDCP層
1140‧‧‧乙太網路
1150‧‧‧乙太網路
1160‧‧‧網路符記
1166‧‧‧仲介層
1202‧‧‧客戶端設備
1204‧‧‧存取節點
1206‧‧‧閘道
1208‧‧‧應用伺服器
1212‧‧‧MAC層
1218‧‧‧IP層
1224‧‧‧IP層
1226‧‧‧GTP-U層
1236‧‧‧PDCP層
1240‧‧‧乙太網路
1250‧‧‧乙太網路
1260‧‧‧網路符記
1272‧‧‧仲介層
1274‧‧‧仲介層
1276‧‧‧仲介層
1302‧‧‧客戶端設備
1304‧‧‧存取節點
1308‧‧‧應用伺服器
1312‧‧‧MAC層
1318‧‧‧IP層
1320‧‧‧仲介層
1322‧‧‧仲介層
1324‧‧‧IP層
1326‧‧‧GTP-U層
1340‧‧‧乙太網路
1350‧‧‧乙太網路
1400‧‧‧示例性設備
1402‧‧‧通訊介面電路
1404‧‧‧處理電路
1406‧‧‧記憶體設備
1408‧‧‧第一輸入/輸出電路/功能單元/模組
1410‧‧‧接收器/發射器電路/功能單元/模組
1412‧‧‧網路符記嵌入模組/電路/功能單元
1424‧‧‧密碼確認/驗證指令
1500‧‧‧示例性方法
1502‧‧‧決定
1504‧‧‧建立
1506‧‧‧獲得
1600‧‧‧示例性方法
1602‧‧‧建立
1604‧‧‧獲得
1606‧‧‧包括
1608‧‧‧關聯
1700‧‧‧示例性存取節點
1702‧‧‧網路通訊介面電路
1704‧‧‧處理電路
1706‧‧‧記憶體設備
1708‧‧‧第一輸入/輸出電路/功能單元/模組
1710‧‧‧接收器/發射器電路/功能單元/模組
1712‧‧‧網路符記推導電路/功能單元/模組
1714‧‧‧網路符記提取/嵌入模組/電路/功能單元
1716‧‧‧密碼確認/驗證模組/電路/功能單元
1720‧‧‧網路符記推導指令
1722‧‧‧網路符記提取/嵌入指令
1724‧‧‧密碼確認/驗證指令
1800‧‧‧示例性方法
1802‧‧‧建立連接
1804‧‧‧推導網路符記
1806‧‧‧發送
1900‧‧‧示例性方法
1902‧‧‧建立連接
1904‧‧‧建立
1906‧‧‧繼續
1908‧‧‧接收或者獲得
1910‧‧‧決定
1912‧‧‧決定
1914‧‧‧發送
1916‧‧‧丟棄
2000‧‧‧另一種示例性方法
2002‧‧‧建立連接
2004‧‧‧接收或者獲得封包
2006‧‧‧獲得
2100‧‧‧另一種示例性方法
2102‧‧‧建立連接
2104‧‧‧相關聯
2106‧‧‧確認/驗證
2108‧‧‧丟棄
2110‧‧‧發送
2112‧‧‧丟棄
2200‧‧‧示例性閘道
2202‧‧‧網路通訊介面電路
2204‧‧‧處理電路
2206‧‧‧記憶體設備
2208‧‧‧第一輸入/輸出電路/功能單元/模組
2210‧‧‧第二輸入/輸出電路/功能單元/模組
2212‧‧‧網路符記推導電路/功能單元/模組
2214‧‧‧金鑰推導電路/功能單元/模組
2216‧‧‧決策和處理電路/功能單元/模組
2218‧‧‧密碼確認和傳輸量引導電路/功能單元/模組
2220‧‧‧網路符記推導指令
2222‧‧‧金鑰推導指令
2224‧‧‧決策和處理指示
2226‧‧‧密碼確認和傳輸量引導指令
2300‧‧‧示例性方法
2302‧‧‧接收
2304‧‧‧決定
2306‧‧‧推導
2308‧‧‧發送
2310‧‧‧步驟
2312‧‧‧推導
2314‧‧‧步驟
2400‧‧‧示例性方法
2402‧‧‧接收
2404‧‧‧辨識
2406‧‧‧推導
2408‧‧‧推導
2410‧‧‧發送
2412‧‧‧發送
2500‧‧‧示例性方法
2502‧‧‧接收或者獲
2504‧‧‧確認/驗證
2506‧‧‧步驟
2508‧‧‧步驟
2510‧‧‧步驟
圖1圖示示例性操作環境。
圖2圖示示例性上行鏈路操作。
圖3是圖示示例性撥叫流程的圖,其中可以由P-GW向客戶端設備發出網路符記。
圖4是圖示示例性撥叫流程的圖,其中可以由P-GW向存取節點(例如,進化型節點B)發出網路符記。
圖5是圖示示例性撥叫流程的圖,其中P-GW可以向客戶端設備發出網路符記並且亦可以向存取節點發出特定於存取節點的秘密金鑰。
圖6是圖示示例性撥叫流程的圖,其中第一網路符記(例如,網路符記1)可以是由P-GW向客戶端設備發出的,以及不同於第一網路符記的第二網路符記(例如,網路符記2)可以是由與該客戶端設備相關聯的存取節點向該客戶端設備發出的。
圖7是圖示示例性撥叫流程的圖,其中兩個網路符記(例如,上行鏈路網路符記和下行鏈路網路符記)可以是由P-GW向客戶端設備發出的。
圖8是根據本文描述的一個態樣的對系統的使用者平面協定堆疊的示例性說明。
圖9是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。
圖10是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。
圖11是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。
圖12是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。
圖13是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。
圖14是圖示適合於支援基於網路符記的應用存取的示例性設備的方塊圖。
圖15是設備可以經由其獲得網路符記的示例性方法。
圖16是設備可以經由其從閘道設備獲得網路符記以及從存取節點獲得單獨的網路符記的示例性方法。
圖17是圖示適合於支援基於符記的應用存取的示例性存取節點的方塊圖。
圖18圖示在存取節點(例如,進化型節點B)處建立網路符記(例如,推導網路符記,並且將該網路符記提供給客戶端設備)的示例性方法。
圖19是在存取節點處操作的示例性方法的流程圖。
圖20是在存取節點處操作的另一種示例性方法的流程圖。
圖21是在存取節點處操作的另一種示例性方法的流程圖。
圖22是圖示適合於支援基於符記的應用存取的示例性閘道的方塊圖。
圖23圖示在閘道(例如,P-GW)處建立網路符記(例如,推導網路符記,並且將該網路符記提供給客戶端設備)的示例性方法。
圖24圖示在閘道(例如,P-GW)處建立上行鏈路和下行鏈路網路符記的示例性方法。
圖25是在閘道處操作的示例性方法的流程圖。
在下文的描述中,參照經由說明的方式示出可以在其中實施本案內容的具體實施例的附圖。實施例意欲足夠詳細地描述本案內容的態樣,以使得本領域的技藝人士能夠實施本發明。在不背離本案內容的範圍的情況下,可以使用其他實施例,並且可以對所揭示的實施例作出改變。不是從限制性的意義上來理解下文的具體實施方式,而是本發明的範圍僅僅由所附的申請專利範圍來限定。
本文可以使用術語「設備」來代表晶片部件及/或客戶端設備,例如,除了別的設備的「行動設備」、「行動電話」、「行動通訊設備」、「行動計算設備」、「數位平板電腦」、「智慧型電話」、「使用者裝備」、「使用者設備」、「終端」。
圖1圖示示例性操作環境100。在此種示例性操作環境100中,一或多個客戶端設備102、104(例如,客戶端設備A、客戶端設備B)可以與存取節點106(例如,節點B、進化型節點B、存取點(AP))進行無線地通訊。存取節點106可以被包括在無線存取網路(RAN)108(例如,進化型通用陸地無線電存取網路(E-UTRAN))內。如本領域的技藝人士已知的,RAN 108通常包括一個以上的存取節點106。為了減少圖中的混亂性,只圖示一個存取節點106。在蜂巢通訊系統(例如,4G、LTE、LTE-A)的非限制性實例中,RAN 108可以向核心網路(CN)110(例如,進化型封包核心(EPC))傳送控制信號和資料傳輸量。在圖1的圖示中,虛線表示控制信號路徑,以及實線表示資料傳輸量路徑。控制信號據稱是經由控制平面來傳送的。使用者資料據稱是經由使用者平面來傳送的。
CN 110可以包括行動性管理實體(MME)112、服務閘道(S-GW)116、歸屬用戶伺服器(HSS)118和封包資料網路閘道(P-GW)120。P-GW 120可以與封包資料網路(PDN)122(例如,網際網路)進行通訊。更具體地,P-GW 120可以與PDN 122中的伺服器124、126、128、130(例如,應用伺服器)進行通訊。伺服器124、126、128、130可以與服務提供者(諸如例如,提供銷售服務、資訊服務、串流視訊服務和社交媒體服務的服務提供者)相關聯。
圖2圖示示例性上行鏈路操作200。為了方便起見,在長期進化(LTE)系統的背景下,呈現該示例性上行鏈路操
作200。該示例不意欲對於本文描述的任何態樣的範圍施加任何限制。
在圖2中圖示了客戶端設備202(例如,使用者裝備、使用者設備、終端、行動設備)、存取節點204(例如,進化型節點B)、服務閘道(S-GW)206、封包閘道(P-GW)208和封包資料網路(PDN)210(例如,網際網路)。
現在描述圖2的示例性上行鏈路操作200。IP流214(例如,來自於客戶端設備202的應用/應用服務212)被應用於利用傳輸量流範本(TFT)216包括的封包篩檢程式(未圖示)。圖示的IP流214的數量是說明性的,並不意欲是限制性的。
TFT 216的封包篩檢程式將IP流過濾到承載218(例如,進化型封包系統(EPS)承載)中。出於演示起見,圖示三個承載218(例如,承載1、承載N-1和承載N)。在一個態樣中,一個承載可以被多個應用/應用服務共享。每一個承載可以與唯一的參數集合相關聯。
例如,IP流214可以被映射到預設的承載或者一或多個專用承載。預設承載通常可以具有非有保證的位元速率,而專用承載通常可以具有有保證的位元速率或者非有保證的位元速率。承載可以經過存取節點204和S-GW 206。存取節點204和S-GW 206的態樣未在本文描述,並且對於本領域的一般技藝人士是已知的。
在一個態樣中,來自於承載218的IP流214可以被傳遞給決策和處理電路/功能單元/模組220。決策和處理電路/功
能單元/模組220可以使從承載218接收的UL封包傳遞給密碼確認和傳輸量引導電路/功能單元/模組222或者服務資料流(SDF)範本224以及被包括在其中的封包篩檢程式(未圖示)。
具有利用其包括網路符記的UL封包可以被傳遞給密碼確認和傳輸量引導電路/功能單元/模組222。在對網路符記進行了成功的確認時,可以執行與該網路符記相關聯的一或多個策略的實施。
不具有利用其包括網路符記的UL封包可以被決策和處理電路/功能單元/模組220傳遞給SDF範本224。與對密碼確認和傳輸量引導電路/功能單元/模組222的使用相比,對SDF範本224的封包篩檢程式的使用,可能需要更多的處理和記憶體資源。為了使用SDF範本224的封包篩檢程式來執行過濾,例如,P-GW 208必須針對每一個SDF來維持單獨的表條目表格。
因此,對網路符記的使用(以及密碼確認和傳輸量控制電路/功能單元/模組222的隨後使用)節省資源並且減少延時。在一個態樣中,加密網路符記(例如,軟體符記)可以被用來增補/增強封包檢查。該態樣的一個優點包括可擴展性。亦即,不需要在快速路徑(又稱為快速通道)上保持表條目或者狀態。該態樣的另一個優點包括低延時。亦即,單個加密操作(例如,雜湊或者高級的加密標準(AES),無論哪一種皆可以更快地執行,或者可以被適當地決定)對於存取控制可能是足夠的。
另一個優點可以包括靈活性。亦即,加密網路符記可以基於各種中繼資料來推導。此種中繼資料不被限制到TFT/SDF範本中過濾的參數。另外,可以向網路符記應用各種策略(例如,真實性策略及/或封包策略的授權)。另一個優點可以包括對分散式拒絕服務(DDoS)攻擊的恢復能力。亦即,在被發送給伺服器(例如,圖1的伺服器124、126、128、130)之前,將丟棄包括錯誤的/不適當的/非可信的加密網路符記的任何封包,從而防止該伺服器被群組淹沒。另一個優點可能在於可再定位性的特徵。可以藉由在第一閘道處將過濾規則(或者規則集)規定/映射到相應的秘密金鑰,並且隨後與第二閘道共享該秘密金鑰,來理解對該優點的實現。因此,在第一閘道和第二閘道之間交遞期間,該態樣允許經由秘密金鑰的傳送/共享來再定位SDF篩檢程式。這消除了對與給定的SDF篩檢程式相關聯的過濾規則(或者規則集)有關的資料中的所有資料進行傳送的需求。因此,再定位性的優點釋放了處理資源,其可能出於其他目的而另外地被用來傳送資料中的所有資料。
一種特徵通常涉及由設備(例如,閘道設備)對於網路符記的推導。本文可以將網路符記稱為符記、網路符記或者加密網路符記。該網路符記可以是基於反映與應用和客戶端設備相關聯的網路策略的訂閱簡檔的。在一些態樣中,網路符記可以由閘道設備來推導,並且可以僅僅由閘道設備來驗證。該網路符記可以與應用服務和客戶端設備(例如,
行動設備、使用者裝備、使用者設備)之間的資料流相關聯。閘道設備可以向客戶端設備提供網路符記。客戶端設備可以將該網路符記包括在經由閘道設備發送給應用服務的一或多個資料封包中。閘道設備可以對與一或多個封包中的每一個封包相關聯的網路符記進行驗證,並且可以使用與網路符記相關聯的資訊來將該封包引導到應用服務。本文結合與網路符記有關的示例性態樣來舉例說明兩種廣泛的程序。
第一程序涉及網路符記的「建立」。建立可以涉及:經由控制平面(C平面)中的訊號傳遞/訊息傳遞中的任何一者來推導和提供網路符記。在下文提供了經由C平面中的訊號傳遞或者訊息傳遞來建立網路符記的非限制性實例。
第二程序涉及對使用網路符記的策略的使用和實施。使用及/或實施可以涉及:將網路符記包括在一或多個UL封包中,其中將網路符記包括在封包中可以在例如客戶端設備(例如,圖2的客戶端設備202)及/或存取節點(例如,圖2的存取節點204)處發生。可以將符記添加到封包,或者另外的與其相關聯。另外,使用及/或實施可以涉及:對網路符記進行確認的網路函數。對網路符記的確認可以例如在P-GW(例如,圖2的P-GW 208)處發生。在一些態樣中,對被發送給客戶端設備的網路符記進行推導的P-GW,可以是對從客戶端設備接收的網路符記進行確認的P-GW。換言之,在一些態樣中,對符記進行推導的節點(例如,P-GW),是亦能夠對該符記進行確認的唯一節點。確認不必然地涉及對過濾的任何需求。可以實現單個加密操作(例如,雜湊、AES)。當與
TFT/SDF範本一起使用封包偵測時需要的記憶體檢視,可能不是必需的。
本文提出的是利用加密網路符記來增補通訊系統中的存取/許可控制的已知方法,或者作為替代方案的方法和設備的實例。閘道(例如,P-GW)可以使用加密網路符記來過濾未經授權的傳輸量,而無需保留流狀態,亦即,無狀態篩檢程式。此外,客戶端設備可以使用加密網路符記來將一或多個UL封包與達成一致的資料串流(例如,承載)相關聯,並且將封包引導到經授權的目的地。其他存取控制規則可以被包括在網路符記中,或者與其相關聯。
本文描述的是建立用於封包資料網路(PDN)中的封包的存取/許可和傳輸量流的符記的示例性方法。在建立符記之後,本文描述的是經由驗證該網路符記來實施存取/許可策略的示例性方法。可以使用基本加密演算法(例如,雜湊、AES)。與現今的方法相比,實施存取/許可策略不需要進行記憶體檢視。
在本文描述的態樣中,不需要將IP流、資料流或者流限制到圖2的示例性說明中呈現的承載。客戶端設備可以操作或者執行一或多個應用。每一個客戶端應用可以被映射到在應用伺服器上操作或者執行的應用服務。因此,可以基於在設備中和在應用伺服器上操作的應用來規定流。可以將流規定成封包在客戶端設備處執行的應用和在應用伺服器處執行的應用服務之間採用的路徑。儘管流可以與在客戶端設備
上操作的應用相關聯,但是流並不必然地標識客戶端設備。網路符記可以被用來標識一或多個流。因此,一個網路符記可以與多個流相關聯。
一個流可以被映射到在網路中的同一伺服器上執行的多個服務。例如,客戶端設備可以使用由伺服器上的一個提供商提供的一個服務。該伺服器通常具有一個IP位址。但是,該服務可以託管該伺服器上的多個應用。該多個應用可以包括:例如,映射應用、資訊搜尋應用和社交網路應用。因此,該多個應用具有相同的目的IP位址,所以從核心網路的閘道(例如,P-GW)的角度來看,該多個應用可以被視作單個流而不是多個流。因此,單個流可以被映射到多個服務。
一個流可以與多個服務相關聯。此外,一個網路符記可以與多個服務相關聯,其中服務可以是由多個應用服務提供者來執行的。例如,客戶端設備可以具有多個贊助商(例如,多個服務提供者)。在本文描述的態樣中,閘道可以推導與多個應用服務提供者相關聯的網路符記。因此,單個符記可以被映射到一或多個應用服務,該一或多個應用服務轉而與一或多個流相關聯。
在本文提供的若干實例中,網路符記可以是基於應用辨識符(App ID)來推導的。但是,對網路符記的推導不限於此種實例。其他參數和參數的組合可以被用來推導網路符記。App ID可以與一或多個伺服器相關聯。例如,給定的服務提供者可以具有處於不同地理位置的不同資料中心(每
一個資料中心具有其自己的伺服器)。在此種情況下,App ID將與一個以上的伺服器相關聯。該符記可以有利地使用該App ID,而不是伺服器IP位址。即使網路符記未指定目的伺服器的IP位址,閘道亦可以驗證與網路符記相關聯的封包正在朝向給定的服務提供者的伺服器前進。
本文闡述的示例可以應用於初始PDN連接請求程序(在其期間,可以建立預設的承載)並且應用於專用承載建立程序(在其期間,可以建立一或多個專用承載)。
圖3是圖示示例性撥叫流程300的圖,其中P-GW 310可以向客戶端設備302發出網路符記。該撥叫流程可以在C平面中實現。存取節點304(例如,進化型節點B)可以是不可知的。亦即,存取節點304可能不知道客戶端設備302已經向P-GW 310發送了針對網路符記的請求。對網路符記的請求和交換,對於不可知的存取節點304來說可能是透明的。圖3包括對客戶端設備302、存取節點304、MME 306、S-GW 308、P-GW 310、策略和計費規則功能(PCRF)312伺服器和歸屬用戶伺服器(HSS)314的表示。
在圖3的示例性撥叫流程300中,客戶端設備302可以採取步驟來大體建立連接,或者與服務建立連接。在一個態樣中,客戶端設備302可以向MME 306發送316 PDN連接請求。可以結合由客戶端設備302採取的用於建立該連接的動作,來隱式地辨識出針對網路符記的請求。例如,可以結合客戶端設備302的PDN連接請求,來隱式地辨識出針對網路符記的
請求。或者,針對網路符記的請求可以被顯式地包括在從客戶端設備發送的連接請求中。例如,可以利用PDN連接請求來顯式地包括針對網路符記的請求。針對網路符記的請求可以包括應用辨識符(App ID)。作為另一種替代方案,客戶端設備302可以不請求網路符記,而是可以在C平面中分配網路符記。例如,另一個節點或者某個策略可能需要使用網路符記。在此種替代的態樣中,即使客戶端設備302不請求網路符記,亦仍然在控制平面中向該客戶端設備提供網路符記。
回應於對PDN連接請求的接收,MME可以向S-GW 308發送318建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者另外的利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,S-GW 308可以向P-GW 310發送320建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者另外的利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,P-GW 310可以執行324用於建立/修改針對IP連接存取網路(IP-CAN)的步驟。如本領域的技藝人士已知的,IP-CAN是提供網際網路協定(IP)連接的存取網路。該術語可以適用於蜂巢網路(例如,3GPP網路)以及無線區域網路(WLAN)(例如,WiFi、熱點等等)。
此外,回應於對針對網路符記的請求的接收,P-GW 310可以獲得或者推導326網路符記。如本文使用的,術語「推導」可以意指:本端推導或者從另一個設備獲取。網路符記可以是與封包相關聯的輸入參數的雜湊。在一個態樣中,網路符記可以在P-GW 310處藉由使用該封包的輸入參數來重新建立一個符記,並且隨後將所重新建立的符記與利用該封包包括的符記進行比較來確認。可以在加密函數中使用對於P-GW 310已知的秘密金鑰來推導網路符記。在一個實例中,P-GW 310可以基於從應用功能單元(AF)取出的應用存取策略來推導網路符記。在一個態樣中,該存取策略可以將流關聯到應用。例如,若利用針對網路符記的請求來包括App ID,則網路符記亦可以基於App ID來推導。在一些態樣中,網路符記可以包括加密的資訊。在一個實例中,可以使用將對於P-GW 310已知的秘密金鑰作為其輸入的加密函數來完成解密。舉例而言,對網路符記的成功解密可以產生一個值,該值與包括該網路符記的UL封包相關聯,可以指示伺服器及/或應用服務的目的位址及/或該UL封包所源自的客戶端設備及/或存取節點的源位址。在一個態樣中,對於從網路符記獲得例如伺服器及/或應用服務的目的位址的能力,可以意指授權與該符記相關聯的封包被發送到該目的地,並且亦可以意指不需要SDF範本224(以及其相關聯的封包篩檢程式)。因此,可以避免封包偵測。如下,P-GW 310可以向客戶端設備302發出該網路符記。
P-GW 310可以向S-GW 308發送328建立通信期回應
。P-GW 310可以將網路符記包括在向S-GW 308發送的建立通信期回應中。回應於該建立通信期回應,S-GW 308可以向MME 306發送330建立通信期回應。S-GW 308可以將該網路符記包括在向MME 306發送的建立通信期回應中。回應於該建立通信期回應,MME 306可以向存取節點304發送332承載建立請求/PDN連接接受。MME 306可以將該網路符記包括在向存取節點304發送的承載建立請求/PDN連接接受中。回應於該承載建立請求/PDN連接接受,存取節點304可以向客戶端設備發送334 RRC連接重配置。存取節點304可以將該網路符記包括在向客戶端設備發送的RRC連接重配置中。客戶端設備302可以接收利用從存取節點304接收的RRC連接重配置來包括的網路符記。
在客戶端設備302具有該網路符記時,客戶端設備302可以利用為了向應用服務進行資料傳輸而構造的一或多個UL封包來包括該網路符記。
圖4是圖示示例性撥叫流程400的圖,其中P-GW 410可以向存取節點(例如,進化型節點B)404發出網路符記;客戶端設備402可以不接收該網路符記。這裡,客戶端設備402被視作是不可知的。亦即,根據該實例,客戶端設備402可以不是將網路符記包括在意欲用於應用服務的一或多個UL封包中的實體。該撥叫流程可以在C平面中實現。圖4包括對客戶端設備402、存取節點404、MME 406、S-GW 408、P-GW 410、PCRF 412和HSS 414的表示。
在圖4的示例性撥叫流程中,客戶端設備402可以採
取步驟來大體建立連接,或者與服務建立連接。在一個態樣中,客戶端設備402可以向MME 406發送416PDN連接請求。可以結合由客戶端設備402採取的用於建立該連接的動作,來隱式地辨識出針對網路符記的請求。例如,可以結合客戶端設備402的PDN連接請求,來隱式地辨識出針對網路符記的請求。或者,針對網路符記的請求可以被顯式地包括在客戶端設備402的連接請求中。例如,可以利用PDN連接請求來顯式地包括針對網路符記的請求。針對網路符記的請求可以包括應用辨識符(App ID)。作為另一種替代方案,客戶端設備402可以不請求網路符記,而是可以在C平面中分配網路符記。
回應於對PDN連接請求的接收,MME 406可以向S-GW 408發送418建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者另外的利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,S-GW 408可以向P-GW 410發送420建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者另外的利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,P-GW 410可以執行424用於建立/修改針對IP-CAN通信期的步驟。此外,回應於對針對網路符記的請求的接收,P-GW 410可以推導426
網路符記。可以在加密函數中使用對於P-GW 410已知的秘密金鑰來推導網路符記。在一個實例中,P-GW 410可以基於從應用功能單元(AF)取回的應用存取策略來推導網路符記。在一個態樣中,該存取策略可以將流關聯到應用。例如,若利用針對網路符記的請求來包括App ID,則網路符記亦可以基於App ID來推導。如下,P-GW 410可以向存取節點404發出網路符記。
P-GW 410可以向S-GW 408發送428建立通信期回應。P-GW 410可以將網路符記包括在向S-GW 408發送的建立通信期回應中。回應於該建立通信期回應,S-GW 408可以向MME 406發送430建立通信期回應。S-GW 408可以將該網路符記包括在向MME 406發送的建立通信期回應中。回應於該建立通信期回應,MME 406可以向存取節點404發送432承載建立請求/PDN連接接受。MME 406可以將該網路符記包括在向存取節點404發送的承載建立請求/PDN連接接受中。用該示例性方式,存取節點404可以從P-GW 410獲得該網路符記。
該撥叫流程可以繼續。例如,回應於該承載建立請求/PDN連接接受,存取節點404可以向客戶端設備402發送434RRC連接重配置。在該第二實例中,存取節點404可以不將網路符記包括在至客戶端設備402的RRC連接重配置中。
在存取節點404具有該網路符記時,存取節點404可以利用為了向應用服務進行資料傳輸而構造的每一個UL封包,來包括該網路符記。
圖5是圖示示例性撥叫流程500的圖,其中P-GW 510
可以向客戶端設備502發出網路符記,並且亦可以向存取節點504發出特定於該存取節點504的秘密金鑰。特定於存取節點504的秘密金鑰可以是由P-GW 510持有的秘密金鑰的函數,以及例如存取節點504的辨識符。對該第三示例性撥叫流程500的運用可以允許存取節點504在將從客戶端設備502接收的一或多個UL封包(和其包括的網路符記一起)轉發給核心網路之前,對利用該等UL封包包括的網路符記進行驗證。這可以促進「第一英哩過濾」操作,其中在使用/實施程序(本文稍後將描述的)期間,可以授權存取節點504基於與接收的網路符記有關的加密函數和特定於該存取節點504的秘密金鑰來對UL封包進行驗證。這可以使得「受信任的」存取節點504在將從客戶端設備502接收的未經授權的UL封包發送給核心網路之前,能夠丟棄該等未經授權的UL封包。該撥叫流程可以在C平面中實現。圖5包括對客戶端設備502、存取節點504、MME 506、S-GW 508、P-GW 510、PCRF 512和HSS 514的表示。
在圖5的示例性撥叫流程500中,客戶端設備502可以採取步驟來大體建立連接,或者與服務建立連接。在一個態樣中,客戶端設備502可以向MME 506發送516 PDN連接請求。可以結合由客戶端設備502採取的用於建立該連接的動作,來隱式地辨識出針對網路符記的請求。例如,可以結合客戶端設備502的PDN連接請求,來隱式地辨識出針對網路符記的請求。或者,針對網路符記的請求可以被顯式地包括在從客戶端設備502發送的連接請求中。例如,可以利用PDN連接請
求來顯式地包括針對網路符記的請求。針對網路符記的請求可以包括應用辨識符(App ID)。作為另一種替代方案,客戶端設備502可以不請求網路符記,而是可以在C平面中分配網路符記。
回應於對PDN連接請求的接收,MME 506可以向S-GW 508發送518建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者另外的利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,S-GW 508可以向P-GW 510發送520建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者另外的利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,P-GW 510可以執行524用於建立/修改針對IP-CAN通信期的步驟(項目4)。此外,回應於對針對網路符記的請求的接收,P-GW 510可以推導526該網路符記。可以在加密函數中使用由P-GW 510推導的特定於存取節點504的秘密金鑰來推導網路符記。P-GW 510可以藉由下列方式,針對每一個存取節點504來推導特定於該存取節點504的秘密金鑰:根據對於P-GW 510已知的秘密金鑰(KNT)來推導該秘密金鑰(KNT,eNB)。例如,可以使用金鑰推導函數(KDF)來推導特定於存取節點504的秘密金鑰,該KDF可以是例如KNT和存取節點辨識符(例如,「eNB ID」)
的函數(亦即,KNT,eNB=KDF(KNT,eNB ID))。用此種方式,每一個推導出的網路符記可以與特定的存取節點504相關聯(例如,被綁定到該特定的存取節點504)。在一個實例中,P-GW 510可以基於從應用功能單元(AF)取回的應用存取策略來推導網路符記。在一個態樣中,該存取策略可以將流關聯到應用。若利用針對網路符記的請求來包括App ID,則網路符記亦可以基於App ID來推導。如下,P-GW 510可以向客戶端設備502發出該網路符記,並且可以向存取節點504發出特定於該存取節點的秘密金鑰(KNT,eNB)。
P-GW 510可以向S-GW 508發送528建立通信期回應。P-GW 510可以將網路符記和秘密金鑰KNT,eNB包括在向S-GW 508發送的建立通信期回應中。回應於該建立通信期回應,S-GW 508可以向MME 506發送530建立通信期回應。S-GW 508可以將該網路符記和秘密金鑰KNT,eNB包括在向MME 506發送的建立通信期回應中。回應於該建立通信期回應,MME 506可以向存取節點504發送532承載建立請求/PDN連接接受。MME 506可以將該網路符記和秘密金鑰KNT,eNB包括在向存取節點504發送的承載建立請求/PDN連接接受中。因此,存取節點504現在已經獲得了秘密金鑰KNT,eNB。回應於該承載建立請求/PDN連接接受,存取節點504可以向客戶端設備502發送534 RRC連接重配置。存取節點504可以將該網路符記包括在至客戶端設備502的RRC連接重配置中。客戶端設備502可以接收利用從存取節點504接收的RRC連接重配置包括的網路符記。因此,客戶端設備502現在已經獲得了該網路符記。
在客戶端設備502具有該網路符記時,客戶端設備502可以利用為了向應用服務進行資料傳輸而構造的一或多個UL封包,來包括該網路符記。
圖6是圖示示例性撥叫流程600的圖,其中P-GW 610可以向客戶端設備602發出第一網路符記(例如,網路符記1),以及與該客戶端設備602相關聯的存取節點604可以向該客戶端設備602發出與第一網路符記不同的第二網路符記(例如,網路符記2)。該示例不涉及對秘密金鑰的共用。亦即,第一網路符記可以利用僅僅對於P-GW 610已知的第一秘密金鑰來推導,而第二網路符記可以利用對於存取節點604已知的第二秘密金鑰來推導,其中第一秘密金鑰和第二秘密金鑰是不同的。例如,在存取節點604和P-GW 610之間的信任假設不到期望的水平或者缺少信任的環境下,該示例可能是有用的。該示例性撥叫流程600可以在C平面中實現。圖6包括對客戶端設備602、存取節點604、MME 606、S-GW 608、P-GW 610、PCRF 612和HSS 614的表示。
在圖6的示例性撥叫流程600中,客戶端設備602可以採取步驟來大體建立連接,或者與服務建立連接。在一個態樣中,客戶端設備602可以向MME 606發送616 PDN連接請求。可以結合由客戶端設備602採取的用於建立該連接的動作,來隱式地辨識出針對網路符記的請求。例如,可以結合客戶端設備602的PDN連接請求,來隱式地辨識出針對網路符記的請求。或者,針對網路符記的請求可以被顯式地包括在客戶端設備602的連接請求中。例如,可以利用PDN連接請求來顯
式地包括針對網路符記的請求。針對網路符記的請求可以包括應用辨識符(App ID)。作為另一種替代方案,客戶端設備602可以不請求網路符記,而是可以在C平面中分配網路符記。
回應於對PDN連接請求的接收,MME 606可以向S-GW 608發送618建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,S-GW 608可以向P-GW 610發送620建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,P-GW 610可以執行624用於建立/修改針對IP-CAN通信期的步驟。此外,回應於對針對網路符記的請求的接收,P-GW 610可以推導626第一網路符記(例如,網路符記1)。可以在加密函數中使用對於P-GW 610已知的秘密金鑰來推導網路符記。在一個實例中,P-GW 610可以基於從應用功能單元(AF)取回的應用存取策略來推導網路符記。在一個態樣中,該存取策略可以將流關聯到應用。若利用針對網路符記的請求來包括App ID,則網路符記亦可以基於App ID來推導。如下,P-GW 610可以向客戶端設備602發出該網路符記。
P-GW 610可以向S-GW 608發送628建立通信期回應。P-GW 610可以將網路符記包括在向S-GW 608發送的建立通信期回應中。回應於該建立通信期回應,S-GW 608可以向MME 606發送630建立通信期回應。S-GW 608可以將該網路符記包括在向MME 606發送的建立通信期回應中。回應於該建立通信期回應,MME 606可以向存取節點604發送632承載建立請求/PDN連接接受。MME 606可以將該網路符記包括在向存取節點604發送的承載建立請求/PDN連接接受中。
回應於該承載建立請求/PDN連接接受,存取節點604可以推導633第二網路符記(例如,網路符記2)。可以在加密函數中使用對於存取節點604已知的秘密金鑰來推導該第二網路符記。在一個實例中,存取節點604可以基於從應用功能單元(AF)取回的應用存取策略來推導該第二網路符記。在一個態樣中,該存取策略可以將流關聯到應用。若利用針對網路符記的請求來包括App ID,則該第二網路符記亦可以基於App ID來推導。
此外,回應於該承載建立請求/PDN連接接受,存取節點604可以向客戶端設備602發送634 RRC連接重配置。存取節點604可以將在P-GW 610處推導的第一網路符記包括在向客戶端設備602發送的RRC連接重配置中,並且另外可以將在存取節點604處推導的第二網路符記包括在向客戶端設備602發送的RRC連接重配置中。因此,客戶端設備602可以在從存取節點604接收的RRC連接重配置中,接收在P-GW 610處推導的第一網路符記和在存取節點604處推導的第二網路符記二
者。
在客戶端設備602具有了在P-GW 610處推導的第一網路符記和在存取節點604處推導的第二網路符記二者時,客戶端設備602可以利用為了向應用服務進行資料傳輸而構造的UL封包,來包括在P-GW 610處推導的第一網路符記和在存取節點604處推導的第二網路符記二者。
圖7是圖示示例性撥叫流程700的圖,其中P-GW 710可以向客戶端設備702發出兩個網路符記(例如,UL網路符記和下行鏈路(DL)網路符記)。結合對下行鏈路(DL)符記的使用來進行優先順序次序劃分和過濾,該示例性撥叫流程可能是有用的。
在一個態樣中,客戶端設備702可以利用去往PDN中的給定的應用/應用服務/應用伺服器的封包,來包括UL網路符記。在一個態樣中,客戶端設備702可能期望在從PDN中的給定的應用/應用服務/應用伺服器接收的封包中,接收DL網路符記。客戶端設備702可以向PDN中的應用(APP)715發送736 DL網路符記,在此時,可能期望PDN中的APP 715將該DL網路符記的複本包括在其向客戶端設備702發送的一或多個封包中。
該示例性撥叫流程700可以在C平面中實現。圖7包括對客戶端設備702、存取節點704、MME 706、S-GW 708、P-GW 710、PCRF 712、HSS 714和PDN中的應用/應用服務/應用伺服器(APP)716的表示。
在圖7的示例性撥叫流程700中,客戶端設備702可以
採取步驟來大體建立連接,或者與服務建立連接。在一個態樣中,客戶端設備702可以向MME 706發送7016 PDN連接請求。可以結合由客戶端設備702採取的用於建立該連接的動作,來隱式地辨識出針對網路符記的請求。例如,可以結合客戶端設備702的PDN連接請求,來隱式地辨識出針對網路符記的請求。或者,針對網路符記的請求可以被顯式地包括在客戶端設備702的連接請求中。例如,針對網路符記的請求可以被顯式地包括在PDN連接請求中。針對網路符記的請求可以包括應用辨識符(App ID)。作為另一種替代方案,客戶端設備702可以不請求網路符記,而是可以在C平面中分配網路符記。
回應於對PDN連接請求的接收,MME 706可以向S-GW 708發送718建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,S-GW 708可以向P-GW 710發送720建立通信期請求。針對網路符記的請求可以被複製到該建立通信期請求,或者利用該建立通信期請求來包括針對網路符記的請求。針對網路符記的請求亦可以包括應用辨識符(App ID)。
回應於對該建立通信期請求的接收,P-GW 710可以執行724用於建立/修改針對IP-CAN通信期的步驟。此外,回應於對針對網路符記的請求的接收,P-GW 710可以推導726
UL網路符記,並且在一些態樣中,可以推導下行鏈路(DL)網路符記。可以在加密函數中使用對於P-GW 710已知的秘密金鑰來推導該UL網路符記。在一個實例中,P-GW 710可以基於從應用功能單元(AF)取回的應用存取策略來推導該UL網路符記。在一個態樣中,該存取策略可以將流關聯到應用。若利用針對UL網路符記的請求來包括App ID,則該UL網路符記亦可以基於App ID來推導。對DL網路符記的推導可以是基於對於P-GW 710已知的金鑰的並且基於與應用伺服器相關聯的參數的。如下,P-GW 710可以向客戶端設備702發出該UL網路符記,並且在一些態樣中,可以向客戶端設備702發出DL網路符記。
P-GW 710可以向S-GW 708發送728建立通信期回應。P-GW 710可以將該UL網路符記包括在向S-GW 708發送的建立通信期回應中。P-GW 710亦可以將該DL網路符記包括在向S-GW 708發送的建立通信期回應中。回應於該建立通信期回應,S-GW 708可以向MME 706發送730建立通信期回應。S-GW 708可以將該UL網路符記和DL網路符記包括在向MME 706發送的建立通信期回應中。回應於該建立通信期回應,MME 706可以向存取節點704發送732承載建立請求/PDN連接接受。MME 706可以將該UL網路符記和DL網路符記包括在向存取節點704發送的承載建立請求/PDN連接接受中。
回應於該承載建立請求/PDN連接接受,存取節點704可以向客戶端設備702發送RRC連接重配置。存取節點704可以利用向客戶端設備702發送的RRC連接重配置來包括該
UL網路符記和DL網路符記。因此,客戶端設備702可以接收UL網路符記和DL網路符記二者,二者可能已經在P-GW 710處推導出,並且在從存取節點704接收的RRC連接重配置中被傳送給客戶端設備702。
在一些態樣中,客戶端設備702可以向PDN上的APP 715發送736 DL網路符記。隨後,在下行鏈路中,APP 715可以利用從APP 715向P-GW 710發送的一或多個下行鏈路封包,來包括該DL網路符記。在該態樣中,P-GW 710可能能夠更高效地指引下行鏈路方向上以及上行鏈路方向上的IP流。由於原始的DL網路符記是由P-GW 710推導的,因此P-GW 710可能能夠對利用來自APP 715的封包接收的DL網路符記進行確認。這對於使用TFT/SDF進行下行鏈路封包檢查可能是有用的替代方案。
現在將提出對結合上文描述的網路符記的使用和實施的態樣。
可以參照網路符記在客戶端設備、存取節點、閘道和應用伺服器的使用者平面協定堆疊之間的移動,來描述對網路符記的使用。本文示出的是用於說明示例性的使用者平面協定堆疊集合的六幅圖。每一幅圖與下一幅圖的不同之處在於:其對網路符記在協定堆疊之間的移動的描述。在協定堆疊中表示的層中的大部分層以及層之間的互連是公知的。將參照對圖8的說明來簡要地描述該等層。為了避免重複和提高本案的簡潔性,針對每一幅示例性的附圖將不重複其描述
。附圖中的四幅圖包括仲介(shim)層,結合由這四幅圖示出的各自態樣,其可以被視為被用於網路符記的移動的層。
圖8是根據本文描述的一個態樣的對系統的使用者平面協定堆疊800的示例性說明。圖8圖示了客戶端設備802、存取節點804、閘道806和應用伺服器808。在該示例性說明圖8中,從最低層向上,客戶端設備802的協定堆疊可以包括:實體(PHY)層810、媒體存取控制(MAC)層812、無線電鏈路控制(RLC)層814、封包資料彙聚協定(PDCP)層816和網際網路協定(IP)層818。在一個態樣中,網路符記可以用網際網路協定(IP)版本6(IPv6)中規定的IP擴展標頭來攜帶。
在一個態樣中,可以向客戶端設備802的使用者平面協定堆疊添加仲介層820,並且可以向閘道806的協定堆疊添加相應的仲介層822。根據本文描述的態樣,仲介層820和相應的仲介層822促進將網路符記從客戶端設備802移動到閘道806。在一個態樣中,仲介層820位於客戶端設備802的IP層818之下,並且位於客戶端設備802的MAC層812之上。在該態樣中,相應的仲介層822位於閘道806的IP層824之下,並且位於閘道806的GTP-U層826之上。
在不需要由存取節點804進行任何處理的情況下,由圖8示出的態樣對於網路符記860從客戶端設備802移動到閘道806可能是有用的。替代的方法是可接受的。舉例而言,客戶端設備802可以經由上文描述的控制平面訊號傳遞/訊息建立方法(圖8中未圖示),從閘道806接收網路符記。根據對
網路符記的使用的一個態樣,客戶端設備802可以將該網路符記包括在去往應用伺服器808的封包中。如圖8中示出的,該網路符記860可以用仲介層820的仲介標頭來攜帶到閘道806。該網路符記860可以用與IP標頭分離的仲介標頭來攜帶。
若在閘道806處對該網路符記的驗證(在下文中描述的)是成功的,則閘道806可以在丟棄該網路符記之後,將該封包轉發給應用伺服器808。若在閘道806處對網路符記860的驗證是不成功的,則閘道806可以丟棄該封包和網路符記。根據所示出的態樣,在應用伺服器808處不需要進行任何改變來支援基於網路符記的應用存取。
為了描述的完整性,現在將簡要地描述存取節點804、閘道806和應用伺服器808的使用者平面協定堆疊的層。在圖8的示例性說明中,從最低層向上,存取節點804的協定堆疊可以包括實體(PHY)層830、媒體存取控制(MAC)層832、無線電鏈路控制(RLC)層834和封包資料彙聚協定(PDCP)層836,其分別與客戶端設備802的相同名稱的層(1210、812、814和816)相連接。在圖8的示例性說明中,從最低層向上,存取節點804的協定堆疊可以另外包括乙太網路層840、MAC層842、IP層844、使用者資料包通訊協定(UDP)層846和GTP-U層848。該等各自的層與閘道806的相同名稱的層(1250、852、854、856和826)相連接。在圖8的示例性說明中,客戶端設備IP層818連接閘道806的IP層824,而閘道806的IP層824連接應用伺服器808的IP層858。
圖9是根據本文描述的另一個態樣的對系統的使用
者平面協定堆疊的示例性說明。圖9圖示了客戶端設備902、存取節點904、閘道906和應用伺服器908。
由圖9示出的態樣對於網路符記960經由存取節點904來從客戶端設備902移動到閘道906可能是有用的。在該態樣中,不需要仲介層。舉例而言,客戶端設備902可以經由上文描述的控制平面訊號傳遞/訊息建立方法(圖9中未圖示),從閘道906接收網路符記960。根據對網路符記的使用的一個態樣,客戶端設備902可以將網路符記960包括在去往應用伺服器908的封包中。包括網路符記960的封包可以用PDCP層916的標頭從客戶端設備902攜帶到存取節點904的PDCP層936。存取節點904可以將在PDCP標頭中發現的網路符記複製到GTP-U標頭中。隨後,包括網路符記960的封包可以用GTP-U層948的標頭從存取節點904攜帶到閘道906的GTP-U層926。亦即,在一個態樣中,該網路符記可以用通用封包式無線電服務(GPRS)隧道協定(GTP)標頭來攜帶。在一個示例性態樣中,最初從閘道906發送給客戶端設備902的網路符記,可以是使用對於該閘道已知的秘密金鑰來建立的。在此種態樣中,存取節點904將不能夠對該網路符記進行驗證(由於其不擁有用於進行驗證需要的秘密金鑰)。因此,圖9的說明中的存取節點904的示例性目的是將該網路符記從一個標頭複製到另一個標頭,從而經由已經存在的PDCP層936的標頭和GTP-U層948的標頭,將該網路符記從客戶端設備902轉發給閘道906。在該網路符記到達閘道處時,若在閘道906處對該網路符記的驗證(在下文中描述的)是成功的,則閘道906可以
在丟棄該網路符記之後,將該封包轉發給應用伺服器908。若在閘道906處對網路符記960的驗證是不成功的,則閘道906可以丟棄該封包和網路符記。根據所示出的態樣,在應用伺服器908處不需要進行任何改變來支援基於符記的應用存取。
未結合圖9描述的客戶端設備902、存取節點904、閘道906和應用伺服器908的使用者平面協定堆疊的層將不被描述,這是由於其描述與圖8中的相同名稱的層的描述是相同的或者類似的。
圖10是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。圖10圖示了客戶端設備1002、存取節點1004、閘道1006和應用伺服器1008。
由圖10示出的態樣對於網路符記1060從存取節點1004移動到閘道1006可能是有用的。若客戶端設備1002被限制存取應用伺服器1008上的特定服務,並且建立的用於將傳輸量從客戶端設備1002攜帶到閘道1006的承載是如此建立的(例如,贊助的連接),則該態樣可能是有用的。當在客戶端設備1002和存取節點1004之間,或者在客戶端設備1002和閘道1006之間不存在信任關係時,該態樣可能亦是有用的。舉例而言,在由圖10示出的態樣中,客戶端設備1002未從閘道1006接收到網路符記。在由圖10示出的態樣中,存取節點1004可以經由上文描述的控制平面訊號傳遞/訊息建立方法(在圖10中未圖示),從閘道1006接收網路符記1060。根據對網路符記的使用的一個態樣,存取節點1004可以將網路符記1060包括在去往應用伺服器1008的客戶端設備1002的封包中
。包括網路符記1060的客戶端設備1002的封包可以用GTP-U層1048的標頭從存取節點1004攜帶到閘道1006的GTP-U層1026。在該網路符記到達閘道處時,若在閘道1006對對該網路符記的驗證(在下文中描述的)是成功的,則閘道1006可以在丟棄該網路符記之後,將該封包轉發給應用伺服器1008。若在閘道1006處對網路符記1060的驗證是不成功的,則閘道1006可以丟棄該封包和網路符記。根據所示出的態樣,在應用伺服器1008處不需要進行任何改變來支援基於符記的應用存取。
未結合圖10描述的客戶端設備1002、存取節點1004、閘道1006和應用伺服器1008的使用者平面協定堆疊的層將不被描述,這是由於其描述與圖8中的相同名稱的層的描述是相同的或者類似的。
圖11是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。圖11圖示了客戶端設備1102、存取節點1104、閘道1106和應用伺服器1108。
在一個態樣中,可以向客戶端設備1102的使用者平面協定堆疊添加仲介層1162,可以向存取節點1104的協定堆疊添加相應的仲介層1164,以及向閘道1106的協定堆疊添加另外的相應的仲介層1166。根據本文描述的態樣,仲介層1162、1164和1166促進將網路符記從客戶端設備1102移動到存取節點1104,並且從存取節點1104移動到閘道1106。在一個態樣中,仲介層1162位於客戶端設備1102的IP層1118之下,並且位於客戶端設備1102的MAC層1112之上。在該態樣中,相
應的仲介層1164位於存取節點1104的PDCP層1136之上。在該態樣中,另外的相應的仲介層1166位於閘道1106的IP層1124之下,並且位於閘道1106的GTP-U層1126之上。
由圖11示出的態樣對於網路符記1160經由存取節點1104從客戶端設備1102移動到閘道1106可能是有用的,其中存取節點1104是特定於該存取節點的秘密金鑰(KNT,eNB)的接收者,該秘密金鑰可以被用來對網路符記進行確認。舉例而言,客戶端設備1102可以經由上文描述的控制平面訊號傳遞/訊息建立方法(在圖11中未圖示),從閘道1106接收網路符記。此外,存取節點1104可以接收由閘道1106推導的並且由閘道1106使用的特定於該存取節點的秘密金鑰(KNT,eNB),以對經由上文描述的控制平面訊號傳遞/訊息建立方法(在圖11中未圖示)向客戶端設備1102發送的網路符記進行推導。根據對網路符記的使用的一個態樣,客戶端設備1102可以將該網路符記包括在去往應用伺服器1108的封包中。如圖11中示出的,仲介層1162的仲介標頭可以將網路符記1160攜帶到存取節點1104的相應的仲介層1164。存取節點1104可以使用由閘道1106向其提供的特定於該存取節點的秘密金鑰,對利用該客戶端設備封包包括的網路符記進行驗證。若在存取節點1104處對該網路符記的驗證(在下文中描述的)是成功的,則存取節點1104可以將該客戶端設備封包和網路符記轉發給閘道1106。若在存取節點1104處對網路符記1160的驗證是不成功的,則存取節點1104可以丟棄該封包和網路符記。若在存取節點1104處對該網路符記的驗證(在下文中描述的
)是成功的,並且該客戶端設備封包和網路符記被轉發給了閘道1106,則可以在閘道1106處進行第二驗證程序。若在閘道1106對該網路符記的驗證(在下文中描述的)是成功的,則閘道1106可以在丟棄該網路符記之後,將該封包轉發給應用伺服器1108。若在閘道1106處對網路符記1160的驗證是不成功的(儘管在存取節點1104處是成功的),則閘道1106可以丟棄該封包和網路符記。根據所示出的態樣,在應用伺服器1108處不需要進行任何改變來支援基於符記的應用存取。
根據圖11中示出的態樣,存取節點1104可以對由閘道1106向客戶端設備1102發送的符記進行驗證。在存取節點1104處的驗證是可行的,這是由於閘道1106可以推導特定於該存取節點的秘密金鑰(上文結合符記建立解釋的推導)。這可以使得存取節點1104能夠在該傳輸量被深入地注入到該網路中之前對去往應用伺服器的未經授權的客戶端設備傳輸量進行過濾,其從而可以防止網路資源被用來傳送未經授權的傳輸量。
未結合圖11描述的客戶端設備1102、存取節點1104、閘道1106和應用伺服器1108的協定堆疊的層將不被描述,這是由於其描述與圖8中的相同名稱的層的描述是相同的或者類似的。
圖12是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。圖12圖示了客戶端設備1202、存取節點1204、閘道1206和應用伺服器1208。
在一個態樣中,可以向客戶端設備1202的協定堆疊
添加仲介層1272,可以向存取節點1204的協定堆疊添加相應的仲介層1274,以及可以向閘道1206的協定堆疊添加另外的相應的仲介層1276。根據本文描述的態樣,仲介層1272、1274和1276促進將網路符記從客戶端設備1202移動到存取節點1204,並且從存取節點1204移動到閘道1206。在一個態樣中,仲介層1272位於客戶端設備1202的IP層1218之下,並且位於客戶端設備1202的MAC層1212之上。在該態樣中,相應的仲介層1274位於存取節點1204的PDCP層1236之上。在該態樣中,另外的相應的仲介層1276位於閘道1206的IP層1224之下,並且位於閘道1206的GTP-U層1226之上。
由圖12示出的態樣對於網路符記1260經由存取節點1204從客戶端設備1202移動到閘道1206可能是有用的,其中存取節點1204和閘道1206二者可以發出針對客戶端設備1202的網路符記。舉例而言,客戶端設備1202可以經由上文描述的控制平面訊號傳遞/訊息建立方法(在圖12中未圖示),從存取節點1204接收網路符記NT2,以及從閘道1206接收單獨的網路符記NT1。根據對分別從閘道1206和存取節點1204接收的網路符記NT1、NT2的使用的一個態樣,客戶端設備1202可以將網路符記NT1、NT2包括在去往應用伺服器1208的封包中。如圖12中示出的,仲介層1272的仲介標頭可以將網路符記NT1、NT2攜帶到存取節點1204的相應的仲介層1274。存取節點1204可以使用對於存取節點1204已知的秘密金鑰,對利用該客戶端設備封包包括的網路符記NT2進行驗證。若在存取節點1204處對網路符記NT2的驗證是成功的,則存取節點1204可以
丟棄該網路符記NT2,並且將該封包和網路符記NT1轉發給閘道1206。若在存取節點1204處對網路符記NT2的驗證是不成功的,則存取節點1204可以丟棄該封包和網路符記。
若在存取節點1204處對該網路符記NT2的驗證是成功的,並且該封包和網路符記NT1被轉發給了閘道1206,則可以在閘道1206處進行第二驗證程序。若在閘道1206對該網路符記NT1的驗證是成功的,則閘道1206可以在丟棄該網路符記NT1之後,將該封包轉發給應用伺服器1208。若在閘道1206處對網路符記NT1的驗證是不成功的(儘管在存取節點1204處是成功的),則閘道1206可以丟棄該封包和網路符記NT1。根據所示出的態樣,在應用伺服器1208處不需要進行任何改變來支援基於符記的應用存取。
根據圖12中示出的態樣,存取節點1204可以對被發送給客戶端設備1202的符記進行驗證,其中該網路符記是由該存取節點1204自身推導的。這可以使得存取節點1204能夠在該傳輸量被深入地注入到該網路中之前對去往應用伺服器的未經授權的客戶端設備傳輸量進行過濾,其從而可以防止網路資源被用來傳送未經授權的傳輸量。當在存取節點1204和閘道1206之間不存在假定的信任關係時,該態樣可能是有用的。因此,若存取節點1204和閘道1206是由不同的服務供應商擁有的/執行的,則該選項是最有用的。
未結合圖12描述的客戶端設備1202、存取節點1204、閘道1206和應用伺服器1208的協定堆疊的層將不被描述,這是由於其描述與圖8中的相同名稱的層的描述是相同的或
者類似的。
圖13是根據本文描述的另一個態樣的對系統的使用者平面協定堆疊的示例性說明。圖13圖示了客戶端設備1302、存取節點1304、閘道1306和應用伺服器1308。
在一個態樣中,可以向客戶端設備1302的協定堆疊添加仲介層1320,並且向閘道1306的協定堆疊添加相應的仲介層1322。根據本文描述的態樣,仲介層1320和相應的仲介層1322促進將網路符記從客戶端設備1302移動到閘道1306。在一個態樣中,仲介層1320位於客戶端設備1302的IP層1318之下,並且位於客戶端設備1302的MAC層1312之上。在該態樣中,相應的仲介層1322位於閘道1306的IP層1324之下,並且位於閘道1306的GTP-U層1326之上。
另外,圖13圖示了下行鏈路網路符記NTD。該下行鏈路符記可以被用於進行優先順序次序劃分和過濾。結合(上文的)符記建立來描述該下行鏈路網路符記。舉例而言,客戶端設備1302可以經由上文描述的控制平面訊號傳遞/訊息建立方法(在圖13中未圖示),從閘道1306接收網路符記NT。客戶端設備1302亦可以經由上文描述的控制平面訊號傳遞/訊息建立方法(在圖13中未圖示),從閘道1306接收第二網路符記NTD。根據對該等網路符記的使用的一個態樣,該下行鏈路網路符記NTD可以經由上文描述的控制平面訊號傳遞/訊息建立方法(在圖13中未圖示),從客戶端設備1302被傳送到應用伺服器1308。其後,在使用中,應用伺服器1308可以將該下行鏈路網路符記NTD包括在向閘道1306發送的並且去
往客戶端設備1302的下行鏈路封包中。閘道1306可以使用該下行鏈路網路符記NTD來進行優先順序次序劃分和過濾。
未結合圖13描述的客戶端設備1302、存取節點1304、閘道1306和應用伺服器1308的協定堆疊的層將不被描述,這是由於其描述與圖8中的相同名稱的層的描述是相同的或者類似的。
圖14是圖示適合於支援基於網路符記的應用存取的示例性設備1400的方塊圖。如本文使用的,術語「設備」可以描述晶片部件及/或諸如客戶端設備之類的終端使用者設備(例如,行動設備、使用者裝備、使用者設備)。在一個實例中,該示例性設備1400可以包括通訊介面電路1402、被耦合到通訊介面電路1402的處理電路1404、以及被耦合到處理電路1404的記憶體設備1406(例如,用於儲存資料的磁的及/或光學的設備)。該清單是非限制性的。
通訊介面電路1402可以包括用於與使用者一起進行輸入/輸出操作的第一輸入/輸出電路/功能單元/模組1408。通訊介面電路1402可以包括用於與存取節點一起進行無線通訊的接收器/發射器電路/功能單元/模組1410。該清單是非限制性的。
處理電路1404可以包括或者實現:適合於支援基於符記的應用存取的一或多個處理器、專用處理器、硬體及/或軟體模組等等。例如,網路符記嵌入模組/電路/功能單元1412可以適合於將網路符記嵌入(包括)在向存取節點及/或閘道
轉發的封包中。該示例是非限制性的。
記憶體設備1406可以適合於包括:網路符記嵌入指令1422、密碼確認/驗證指令1424以及秘密金鑰儲存和指令。該清單是非限制性的。
圖15是設備可以經由其獲得網路符記的示例性方法1500。該示例性方法1500可以在設備處操作。在一個態樣中,該設備可以使用c平面訊號傳遞來與存取節點建立連接。例如,在此種態樣中,可以在存取節點處建立承載。在一個態樣中,該設備可以使用控制平面訊號傳遞來建立1504與一或多個應用相關聯的一或多個流的集合。該一或多個流可以是基於策略來規定的。該策略可以是諸如網路存取策略之類的網路策略。該設備可以在控制平面訊號傳遞期間,獲得1506網路符記,其中該網路符記可以是根據網路存取策略來推導的、與一或多個流的集合中的第一流相關聯的、與該一或多個應用中的第一應用相關聯的、並且經由控制平面訊號傳遞被提供給該設備的。
在一個態樣中,在使用控制平面訊號傳遞來建立與一或多個應用相關聯的一或多個流的集合之前,該設備可以可選地決定1502該應用服務是否需要網路符記。
在一個態樣中,該示例性方法1500亦可以包括:利用與第一流相關聯的封包來從該設備發送該網路符記。該方法不限於:利用一個封包只發送一個網路符記。該方法可以包括:利用與第一流相關聯的一或多個封包來發送該網路符記,或者可以包括:利用與第一流相關聯的每一個封包來發
送該網路符記。
在一個態樣中,應用服務可以與承載或者存取點名稱(APN)相關聯。在網路中,可以由行動性管理實體(MME)或者封包資料網路閘道(P-GW)來發起對承載的建立。如本文使用的,對承載的建立可以包括:對預設承載的啟動、對專用承載的啟動,或者對已經建立的承載的修改。建立承載和獲得網路符記的步驟,可以利用控制訊息來實現。網路符記可以與設備和應用服務相關聯(例如,被綁定到該設備和應用服務)。網路符記可以與一或多個流和一或多個應用相關聯。
在一個態樣中,對承載的建立可以由該設備來發起。可以被實現以建立承載或者APN的步驟可以包括:從該設備發送封包資料網路(PDN)連接請求;從該設備發送專用承載啟動請求;或者從該設備發送承載修改請求。
在一個態樣中,建立承載可以包括:請求網路符記,其中該請求可以是隱式的或者顯式的。請求可以包括:經由控制訊息中的應用辨識符(App ID)或者服務資料流(SDF)來辨識應用服務。
如上文指示的,設備可以在請求網路符記之前,決定該應用服務是否需要網路符記。在此種實例中,該決定可以是基於從網路接收的指示的、從該應用服務接收的指示的、對該應用服務的配置及/或對於查詢的回應的。
舉例而言,從網路接收的指示可以被包括在訊號傳遞傳輸層(S1B)訊息或者非存取層(NAS)訊息中,作為附
著程序的一部分。可以結合該應用服務的配置來儲存從網路接收的指示。可以在建立針對該應用服務的訂閱期間接收從網路接收的指示,或者將從網路接收的指示作為對該應用服務的軟體升級來下載。從網路接收的指示可以作為策略的一部分來接收。
舉例而言,對應用服務的配置可以是基於:該應用服務的策略的或者託管對於該應用服務的傳輸服務或者連接服務的連接提供商的策略的。
圖16是設備可以經由其從閘道設備獲得網路符記,並且從存取節點獲得單獨的網路符記的示例性方法1600。該示例性方法1600可以在設備處操作。在一個態樣中,該設備可以使用c平面訊號傳遞來與存取節點建立連接。例如,在此種態樣中,可以在存取節點處建立承載。在一個態樣中,該設備可以使用控制平面訊號傳遞來建立1602與一或多個應用相關聯的一或多個流的集合。該一或多個流可以是基於策略來規定的。該策略可以是諸如網路存取策略之類的網路策略。該設備可以在控制平面訊號傳遞期間,獲得1604第一網路符記,其中該第一網路符記可以是由第一設備(例如,P-GW、閘道設備)根據網路存取策略來推導的。該第一網路符記可以是與一或多個流的集合中的第一流相關聯的、與該一或多個應用中的第一應用相關聯的、並且亦可以經由控制平面訊號傳遞被提供給該設備。
網路存取策略可以將來自設備的流關聯到應用服務。隨後,該方法可以包括:在該設備處,獲得第一網路符記
,以根據網路存取策略來將封包與流相關聯1604。該方法亦可以藉由將第一網路符記包括在與該流相關聯的封包中來繼續,該封包是去往該應用服務的。在一個態樣中,該設備可以將第一網路符記包括1606在去往該應用的一或多個封包中。該方法亦可以包括可選的步驟:在該設備處,獲得第二網路符記,以根據存取策略來將封包與流相關聯1608。在該可選的步驟之後,該方法亦可以包括可選的步驟:將第二網路符記包括在去往該應用的一或多個封包中1610。
第一網路符記和第二網路符記可以是由該設備在控制訊息中獲得的。
圖17是圖示適合於支援基於符記的應用存取的示例性存取節點1700(例如,進化型節點B)的方塊圖。在一個實例中,該示例性存取節點1700可以包括網路通訊介面電路1702、被耦合到網路通訊介面電路1702的處理電路1704、以及被耦合到處理電路1704的記憶體設備1706(例如,用於儲存資料的磁的及/或光學的設備)。該清單是非限制性的。
網路通訊介面電路1702可以包括用於經由S-GW,與P-GW一起進行通訊的第一輸入/輸出電路/功能單元/模組1708。網路通訊介面電路1702可以包括用於與客戶端設備一起進行無線通訊的接收器/發射器電路/功能單元/模組1710。該清單是非限制性的。
處理電路1704可以包括或者實現:適合於支援基於符記的應用存取的一或多個處理器、專用處理器、硬體及/或
軟體模組等等。例如,網路符記推導電路/功能單元/模組1712可以適合於基於僅僅對於閘道已知的秘密金鑰,或者對於閘道及/或另一個實體已知的秘密金鑰(例如,特定於存取節點的秘密金鑰,其可以被儲存在記憶體設備1706中)來推導符記。經由另一個示例的方式,網路符記提取/嵌入模組/電路/功能單元1714可以適合於:從來自於客戶端設備的上行鏈路封包中提取網路符記,及/或將網路符記嵌入(包括)在向閘道轉發的封包中。經由另一個示例的方式,密碼確認/驗證模組/電路/功能單元1716可以適合於對例如從客戶端設備接收的網路符記進行確認/驗證。該清單是非限制性的。
記憶體設備1706可以適合於包括:網路符記推導指令1720、網路符記提取/嵌入指令1722、密碼確認/驗證指令1724以及秘密金鑰儲存和指令。該清單是非限制性的。
圖18圖示在存取節點(例如,進化型節點B)處建立網路符記(例如,推導網路符記,並且將該網路符記提供給客戶端設備)的示例性方法1800。
舉例而言,存取節點可以與客戶端設備建立連接1802。存取節點可以根據對於該存取節點已知的金鑰來推導網路符記1804。存取節點可以向客戶端設備發送在該存取節點處推導出的網路符記1806。可以經由控制平面訊號傳遞來將在存取節點處推導出的網路符記發送給客戶端設備。在一個態樣中,客戶端設備可以經由控制平面訊號傳遞,接收在P-GW處推導出的網路符記和在存取節點處推導出的網路符記。該等網路符記可以是不同於彼此的。在P-GW處推導出的
網路符記可以是根據對於該P-GW已知的秘密金鑰來推導的,以及在存取節點處推導出的網路符記可以是根據對於該存取節點已知的秘密金鑰來推導的。對於P-GW已知的秘密金鑰可以是僅僅對於該P-GW已知的。對於存取節點已知的秘密金鑰可以是僅僅對於該存取節點已知的。對於P-GW已知的秘密金鑰和對於存取節點已知的秘密金鑰可以是不同於彼此的。利用從客戶端設備發送的UL封包來包括在存取節點處推導出的網路符記以及在P-GW處推導出的網路符記,可以允許存取節點在將該UL封包更深入地發送到網路中之前,對該UL封包進行驗證。
在上文描述的實例中,與客戶端設備聯絡的建立以及網路符記從存取節點向客戶端設備的發送,可以用控制訊息來實現。在存取節點處推導出的網路符記可以與客戶端設備、存取節點和應用服務相關聯(例如,被綁定到該客戶端設備、存取節點和應用服務)。
圖19是在存取節點處操作的示例性方法1900的流程圖。該方法可以包括:與客戶端設備建立連接1902。該方法可以包括:作為建立該連接的一部分,建立針對該客戶端設備的上下文1904。該方法可以藉由將網路符記包括在與該客戶端設備和應用服務相關聯的封包中來繼續1906。該上下文可以包括網路符記,其中該網路符記與該客戶端設備和應用服務相關聯(例如,被綁定到該客戶端設備和應用服務)。該方法亦可以包括:從客戶端設備接收或者獲得包括網路符記的封包1908。可以進行對該網路符記的有效性的決定1910
。若該網路符記是與該客戶端設備和應用服務相關聯的網路符記的複本,則可以決定該網路符記是有效的1912。該方法亦可以包括:若該網路符記是有效的,則向閘道發送包括該網路符記的複本的封包1914。若決定該網路符記是無效的,則存取節點可以丟棄該封包和網路符記1916。
圖20是在存取節點處操作的另一種示例性方法2000的流程圖。該方法可以包括:與客戶端設備建立連接2002。該方法可以包括:從客戶端設備接收或者獲得封包2004。該方法亦可以包括:向閘道發送包括該網路符記的複本的封包,其中該網路符記是由該存取節點在控制訊息中獲得的2006。
圖21是在存取節點處操作的另一種示例性方法2100的流程圖。該方法可以包括:與客戶端設備建立連接2102。該方法可以包括:從客戶端設備獲得包括第一網路符記和第二網路符記的封包,其中第一網路符記與閘道相關聯(例如,被綁定到該閘道),以及第二網路符記與存取節點相關聯(例如,被綁定到該存取節點)2104。該方法可以繼續在存取節點處對第二網路符記進行確認/驗證2106。若該確認/驗證是成功的,則存取節點可以丟棄2108該第二網路符記。隨後,存取節點可以向閘道發送2110包括第一網路符記的封包。若該確認/驗證是不成功的,則存取節點可以丟棄該封包以及第一網路符記和第二網路符記2112。
圖22是圖示適合於支援基於符記的應用存取的示例
性閘道2200的方塊圖。在一個實例中,該示例性閘道2200可以包括網路通訊介面電路2202、被耦合到網路通訊介面電路2202的處理電路2204、以及被耦合到處理電路2204的記憶體設備2206(例如,用於儲存資料的磁的及/或光學的設備)。該清單是非限制性的。
網路通訊介面電路2202可以包括用於與服務閘道一起進行通訊的第一輸入/輸出電路/功能單元/模組2208和用於與封包資料網路一起進行通訊的第二輸入/輸出電路/功能單元/模組2210。第一輸入/輸出電路/功能單元/模組2208可以處理在多個承載上建立的多個IP流。第二輸入/輸出電路/功能單元/模組2210可以與封包資料網路上的多個伺服器一起處理多個IP流。該清單是非限制性的。
處理電路2204可以包括或者實現:適合於支援基於符記的應用存取的一或多個處理器、專用處理器、硬體及/或軟體模組等等。例如,網路符記推導電路/功能單元/模組2212可以適合於:基於可以被儲存在記憶體設備2206中的秘密金鑰來推導符記。該秘密金鑰可以是僅僅對於該閘道已知的。經由另一個示例的方式,金鑰推導電路/功能單元/模組2214可以適合於:基於例如可以被儲存在記憶體設備2206中的秘密金鑰和給定的存取節點的辨識符,來推導特定於存取節點的秘密金鑰。經由另一個示例的方式,決策和處理電路/功能單元/模組2216可以適合於:決定從EPS承載接收的上行鏈路封包或者從應用伺服器接收的下行鏈路封包是否包括網路符記,並且若包括,則可以進一步適合於將所接收的封包傳遞
給密碼確認和傳輸量引導電路/功能單元/模組2218。決策和處理電路/功能單元/模組2216亦可以適合於:將所接收的不包括網路符記的封包傳遞給服務資料串流篩檢程式組(未圖示)。該清單是非限制性的。
記憶體設備2206可以適合於包括:網路符記推導指令2220、金鑰推導指令2222、決策和處理指示2224、密碼確認和傳輸量引導指令2226以及秘密金鑰儲存和指令。該清單是非限制性的。
圖23圖示在閘道(例如,P-GW)處建立網路符記(例如,推導網路符記,並且將該網路符記提供給客戶端設備)的示例性方法2300。
舉例而言,閘道可以在與客戶端設備相關聯的承載建立、啟動或者修改期間,接收針對網路符記的請求2302。作為可選的步驟,可以作出是否推導特定於存取節點(例如,進化型節點B)的秘密金鑰以進行對該網路符記的推導的決定2304。若不使用可選的步驟2304,或者若是否推導特定於存取節點的秘密金鑰的決定導致了不推導特定於存取節點的秘密金鑰的決定,則該方法可以繼續在閘道處,根據僅僅對於該閘道已知的秘密金鑰來推導2306網路符記。接著,閘道可以在承載建立、啟動或者修改期間,向客戶端設備或者與該客戶端設備相關聯的存取節點發送該網路符記2308。若使用可選的步驟2304,或者若是否推導特定於存取節點的秘密金鑰的決定導致了推導特定於存取節點的秘密金鑰的決定,則該方法可以前進到推導特定於存取節點的秘密金鑰的步驟
2310。可以使用金鑰推導函數(KDF)來推導特定於存取節點(例如,eNB)的秘密金鑰,該KDF具有包括例如僅僅對於該閘道已知的秘密金鑰(例如,KNT)以及例如存取節點的辨識符(例如,eNB辨識符)的輸入。因此,在一個示例性態樣中,KNT,eNB=KDF(KNT,eNB ID)。該示例性態樣不意欲是限制性的。
根據一個態樣,可以根據特定於該客戶端設備所附著的存取節點的秘密金鑰來推導2312網路符記。該方法可以包括:向客戶端設備發送該網路符記,並且向存取節點發送特定於該存取節點的秘密金鑰。
根據一個態樣,可以辨識該客戶端設備的應用服務,其中被發送給該客戶端設備的或者被發送給存取節點的網路符記可以與該應用服務相關聯。
根據一個態樣,接收或者獲得針對網路符記的請求,以及發送該網路符記(以及,在一些示例中的所推導的特定於存取節點的秘密金鑰)是用控制訊息來實現的。
根據一個態樣,對網路符記的推導可以是基於存取策略的。根據另一個態樣,向客戶端設備發送網路符記亦可以包括:向行動性管理實體(MME)發送網路符記,以及從該MME向客戶端設備發送網路符記。
如示例性圖23中示出的,可以直接根據僅僅對於閘道已知的秘密金鑰來推導該網路符記(參見步驟2306),或者可以間接地根據僅僅對於閘道已知的相同的秘密金鑰來推導該網路符記,該相同的秘密金鑰可以被用來推導特定於存
取節點的秘密金鑰(參見步驟2310、2312)。
在一些態樣中,承載可以與應用辨識符(ID)及/或客戶端設備ID相關聯。在一些態樣中,應用服務可以與承載或者存取點名稱(APN)相關聯。在一些態樣中,網路符記可以與客戶端設備和應用服務相關聯(例如,被綁定到該客戶端設備和應用服務)。
在一些態樣中,承載可以包括複數個傳輸量流範本(TFT)。該複數個TFT可以與複數個應用服務相對應。
根據另一個態樣,向客戶端設備發送網路符記和向存取節點發送特定於該存取節點的秘密金鑰亦可以包括:向行動性管理實體(MME)發送網路符記和特定於存取節點的秘密金鑰,從MME向客戶端設備發送該網路符記,以及從MME向存取節點發送特定於該存取節點的秘密金鑰。
在另一個態樣中,可以使用網路符記來實施與應用服務相關聯的存取策略,以及在將在存取節點處接收的封包發送給閘道之前,可以使用特定於存取節點的秘密金鑰來確認被包括在該等封包中的網路符記,以防止未經授權的封包到達閘道。
圖24圖示在閘道(例如,P-GW)處建立上行鏈路和下行鏈路網路符記的示例性方法2400。在一個態樣中,可以在閘道處,在與客戶端設備相關聯的承載建立、啟動或者修改期間,接收針對網路符記的請求2402。可以辨識該客戶端設備的應用服務2404。可以在閘道處推導UL網路符記2406。亦可以在閘道處推導與該UL網路符記不同的DL網路符記
2408。在一個態樣中,閘道可以向客戶端設備發送該UL網路符記和DL網路符記2410。可選地,客戶端設備可以向PDN上的APP發送該下行鏈路網路符記2412。
在一個態樣中,接收或者獲得針對網路符記的請求,以及提供UL網路符記和DL網路符記,可以用控制訊息來實現。
在一個態樣中,推導上行鏈路網路符記是基於對於該閘道已知的金鑰的並且基於與該客戶端設備相關聯的參數的,以及推導下行鏈路網路符記是基於對於該閘道已知的金鑰的並且基於與應用伺服器相關聯的參數的。
在一個態樣中,向客戶端設備發送上行鏈路網路符記和下行鏈路網路符記亦包括:向行動性管理實體(MME)發送該UL網路符記和DL網路符記,以及從MME向客戶端設備發送該上行鏈路網路符記和下行鏈路網路符記。
圖25是在閘道處操作的示例性方法2500的流程圖。該方法可以包括:在閘道處,接收或者獲得包括網路符記的封包2502。該方法可以繼續使用對於該閘道已知的金鑰來對該網路符記進行確認/驗證2504。若該網路符記是有效的2506,則該方法可以藉由丟棄該網路符記並且向應用伺服器發送該封包來繼續2508。若該網路符記是無效的2506,則該方法可以藉由丟棄該封包和網路符記來繼續2510。
在一個態樣中,對網路符記進行驗證可以包括:根據具有包括下列各項的輸入參數集合的函數來推導驗證網路符記:對於閘道已知的金鑰;及網路符記參數索引、源網際
網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或服務品質類別辨識符(QCI);及將網路符記與該驗證網路符記進行比較。
在一個態樣中,在閘道處操作的示例性方法可以包括:在閘道處,從應用伺服器接收或者獲得封包,其中該封包包括下行鏈路網路符記,使用對於該閘道已知的金鑰來對該下行鏈路網路符記進行驗證,若該驗證是不成功的,則丟棄該封包和下行鏈路網路符記,以及若該驗證是成功的,則丟棄該下行鏈路網路符記,並且基於由該下行鏈路網路符記表示的參數來向客戶端設備發送該封包。
除非本文另外指出,否則示出的和描述的具體實現方式僅僅是實例,而不應當被解釋為用於實現本案內容的唯一方式。對於本領域的一般技藝人士來說容易顯而易見的是,可以由眾多的其他劃分解決方案來實踐本案內容中的各個實例。
本文描述的和附圖中示出的部件、動作、特徵及/或功能中的一或多個可以被重新排列及/或組合到單個部件、動作、特徵或者功能中,或者被體現在若干部件、動作、特徵或者功能中。在不背離本發明的情況下,亦可以添加另外的要素、部件、動作及/或功能。本文描述的演算法亦可以被高效地實現在軟體中及/或被嵌入到硬體中。
在描述中,為了不使不必要的細節對本案內容造成模糊,可以以方塊圖形式示出要素、電路、功能單元和模組。相反地,除非本文另外指出,否則示出的和描述的具體實
現方式僅僅是示例性的,而不應當被解釋為用於實現本案內容的唯一方式。另外,模組定義和各個模組之間的邏輯的劃分是示例性的具體實現方式。對於本領域的一般技藝人士來說容易顯而易見的是,可以經由眾多的其他劃分解決方案來實踐本案內容。對於本文的大部分內容來說,已經省略了關於時序考慮等等的細節,其中此種細節對於獲得對本案內容的完整理解不是必需的,此種細節在相關技術領域的一般技藝人士的能力範圍之內。
此外,應當注意到的是,實施例可以被描述為程序,該程序被圖示為流程圖、流程示意圖、結構圖或者方塊圖。儘管流程圖可以將操作描述成順序程序,但是操作中的很多操作可以並行或者同時地執行。另外,可以重新排列操作的順序。當其操作被完成時,終止該程序。程序可以與方法、函數、過程、子常式、副程式等相對應。當程序與函數相對應時,其終止與該函數到調用函數或者主函數的返回相對應。
本領域的一般技藝人士將理解的是,資訊和信號可以使用各種各樣不同的技術和製程中的任何一種來表示。例如,可以遍及本描述提及的資料、指令、命令、資訊、信號、位元、符號和碼片可以用電壓、電流、電磁波、磁場或者粒子、光場或者粒子或者其任意組合來表示。為了呈現和描述的清楚起見,一些附圖可以將信號示作單個信號。本領域的一般技藝人士應當理解的是,信號可以表示信號匯流排,其中匯流排可以具有各種各樣的位元寬,並且可以在任意數
量的資料信號(包括單個資料信號)上實現本案內容。
應當理解的是,除非明確地闡明此種限制,否則使用諸如「第一」、「第二」等等之類的指定,對本文要素的任何提及不限制該等要素的數量或者順序。更確切地說,在本文中可以將該等指定用作區分兩個或兩個以上要素或者要素的實例的便利的方法。因此,對於第一要素和第二要素的提及不意味著在此處僅可以使用兩個要素,或者第一要素必須以某種方式在第二要素之前。此外,除非另外說明,否則要素的集合可以包括一或多個要素。
此外,儲存媒體可以表示用於儲存資料的一或多個設備,其包括唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、快閃記憶體設備及/或用於儲存資訊的其他機器可讀取媒體和處理器可讀取媒體及/或電腦可讀取媒體。術語「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」可以包括但不限於非暫時性媒體,例如,可攜式或者固定的儲存設備、光儲存設備和能夠儲存、包含或者攜帶指令及/或資料的各種其他媒體。因此,本文描述的各種方法可以完全地或者部分地用可以被儲存在「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」中的指令及/或資料來實現,並且由一或多個處理器、機器及/或設備來執行。
此外,實施例可以用硬體、軟體、韌體、仲介軟體、微代碼或者其任意組合來實現。當使用軟體、韌體、仲介軟體或者微代碼來實現時,可以將執行必要任務的程式碼或
者程式碼片段儲存於諸如儲存媒體或者其他記憶體之類的機器可讀取媒體中。處理器可以執行該等必要的任務。程式碼片段可以表示程序、函數、副程式、程式、常式、子常式、模組、套裝軟體、軟體組件,或者指令、資料結構或者程式語句的任意組合。一個程式碼片段可以經由傳遞及/或資訊、資料、引數、參數或儲存內容被耦合至另一個程式碼片段或者硬體電路。可以經由包括記憶體共享、訊息傳遞、符記傳遞和網路傳輸等等的任何適當的方式,來對資訊、引數、參數、資料等等進行傳遞、轉發或者發送。
結合本文揭露的示例描述的各種說明性的邏輯區塊、單元、電路、模組、功能單元及/或部件,可以用被設計為執行本文描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式化閘陣列(FPGA)或其他可程式化邏輯裝置、個別閘門或者電晶體邏輯裝置、個別硬體部件或者其任意組合來實現或者執行。通用處理器可以是微處理器,但是在替代方案中,該處理器可以是任何一般的處理器、控制器、微控制器或者狀態機。處理器亦可以被實現為計算部件的組合,例如,DSP和微處理器的組合、多個微處理器、結合DSP核心的一或多個微處理器,或者任何其他此種結構。被配置為用於執行本文描述的實施例的通用處理器,被視作用於執行此種實施例的專用處理器。類似地,當通用電腦被配置用於執行本文描述的實施例時,被視作專用電腦。
結合本文揭露的示例描述的方法或者演算法可以以
處理單元、程式化指令或者其他指示的形式,被直接地體現在硬體中、由處理器可執行的軟體模組中或者兩者的組合中,並且可以被包含在單個設備中,或者可以跨越多個設備來分佈。軟體模組可以存在於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM或者本領域中已知的任何其他形式的儲存媒體中。儲存媒體可以被耦合至處理器,使得該處理器能夠從儲存媒體讀取資訊,並且向儲存媒體寫入資訊。在替代方案中,儲存媒體可以是處理器的組成部分。
本領域的技藝人士亦將意識到的是,結合本文揭露的實施例描述的各種說明性的邏輯區塊、電路、功能單元、模組和演算法步驟可以被實現成電子硬體、電腦軟體或者二者的組合。為了清楚地說明硬體和軟體的此種可交換性,上文對各種說明性的要素、部件、方塊、電路、功能單元、模組和步驟均圍繞其功能進行了整體描述。至於此種功能是被實現成硬體、軟體,還是其組合,取決於特定的應用和對整個系統施加的設計選型。
在不背離本發明的情況下,可以在不同的系統中實現本文描述的本發明的各種特徵。應當注意到的是,前述的實施例僅僅是實例,而不應當被解釋為對本發明進行限制。對實施例的描述意欲是說明性的,而不限制請求項的範圍。同樣地,本教導可以被容易地應用於其他類型的裝置,並且對於本領域的技藝人士來說,許多替代方案、修改和變型將是顯而易見的。
Claims (43)
- 一種在一客戶端設備處操作的方法,包括以下步驟:使用控制平面訊號傳遞,來建立與一或多個應用相關聯的一或多個流的一集合;在該客戶端設備處,在該控制平面訊號傳遞期間獲得一第一網路符記,其中該第一網路符記是:基於中繼資料來推導的;與該一或多個流的集合中的一第一流相關聯的;與該一或多個應用中的一第一應用相關聯的;及經由該控制平面訊號傳遞來提供給該客戶端設備的;用下列項目將該第一網路符記從該客戶端設備傳輸至一閘道設備:一網際網路協定(IP)層和一媒體存取控制(MAC)層之間的一仲介層中的一仲介標頭;一封包資料彙聚協定(PDCP)標頭;及/或在IP版本6(IPv6)中所規定的一IP擴展標頭。
- 根據請求項1之方法,亦包括以下步驟:利用與該第一流相關聯的封包,來從該客戶端設備發送該第一網路符記。
- 根據請求項1之方法,亦包括以下步驟:利用從該客戶端設備發送的與該第一流相關聯的每一個封包,來從該客戶端設備發送該第一網路符記。
- 根據請求項1之方法,其中該第一網路符記亦是根據一網路存取策略來推導的。
- 根據請求項1之方法,其中該第一網路符記用於將該第一流中的一封包引導到該第一應用。
- 根據請求項1之方法,其中:該第一網路符記是回應於針對該第一網路符記的一隱式請求來提供的;及該隱式請求包括下列任一項目中之一者:一封包資料網路(PDN)連接請求訊息,一專用承載啟動請求訊息,或者一承載修改請求訊息。
- 根據請求項1之方法,其中當該第一網路符記是用該仲介標頭來傳輸的時,該第一網路符記對於一存取節點是透明的。
- 根據請求項1之方法,亦包括以下步驟:用下列項目將該第一網路符記從該客戶端設備傳輸至一存取節點:一網際網路協定(IP)層和一媒體存取控制(MAC)層之間的一仲介層中的一仲介標頭;及/或一封包資料彙聚協定(PDCP)標頭。
- 根據請求項1之方法,亦包括以下步驟:在該客戶端設備處,在該控制平面訊號傳遞期間獲得一第二網路符記,其中該第二網路符記是:由一第二設備推導的,該第二設備與推導該第一網路符記的一第一設備不同;與該一或多個流的集合中的該第一流相關聯的;與該一或多個應用中的該第一應用相關聯的;及經由該控制平面訊號傳遞來提供給該客戶端設備的。
- 一種客戶端設備,包括:一網路介面;及一處理電路,其耦合於該網路介面,該處理電路經配置為:使用控制平面訊號傳遞,來建立與一或多個應用相關聯的一或多個流的一集合;在該客戶端設備處,在該控制平面訊號傳遞期間獲得一網路符記,其中該網路符記是:基於中繼資料來推導的;與該一或多個流的集合中的一第一流相關聯的;與該一或多個應用中的一第一應用相關聯的;及經由該控制平面訊號傳遞來提供給該客戶端設備的;用下列項目將該網路符記從該客戶端設備傳輸至一閘道設備:一網際網路協定(IP)層和一媒體存取控制(MAC)層之間的一仲介層中的一仲介標頭;一封包資料彙聚協定(PDCP)標頭;及/或在IP版本6(IPv6)中所規定的一IP擴展標頭。
- 根據請求項10之客戶端設備,其中該處理電路亦經配置為:利用與該第一流相關聯的一封包,來發送該網路符記。
- 根據請求項10之客戶端設備,其中該處理電路亦經配置為:利用與該第一流相關聯的每一個封包,來發送該網路符記。
- 根據請求項10之客戶端設備,其中該處理電路亦經配置為:使用與該網路符記相關聯的資料,來將該第一流中的一封包引導到該第一應用。
- 一種在一閘道設備處操作的方法,包括以下步驟:在該閘道設備處,在與和一客戶端設備相關聯的資料連接建立、啟動或者修改相關聯的控制平面訊號傳遞期間獲得針對一網路符記的一請求,該網路符記是基於中繼資料來推導的;在該閘道設備處,根據一存取策略來推導該網路符記,該網路符記與一流和一應用服務相關聯;及在控制平面訊號傳遞期間,經由該控制平面訊號傳遞將該網路符記發送至該客戶端設備或發送至與該客戶端設備相關聯的一存取節點;其中將該網路符記推導為一上行鏈路網路符記和與該上行鏈路網路符記不同的一下行鏈路網路符記,對該上行鏈路網路符記的推導是基於該閘道設備已知的一金鑰並且基於與該客戶端設備相關聯的一參數,以及對該下行鏈路網路符記的推導是基於該閘道設備已知的該金鑰並且基於與一應用伺服器相關聯的一參數,該方法亦包括以下步驟:將該上行鏈路網路符記和該下行鏈路網路符記發送至該客戶端設備。
- 根據請求項14之方法,其中該網路符記用於引導經由該閘道設備而在一網路上進行傳輸期間而在該客戶端設備和該應用服務之間通過的封包。
- 根據請求項14之方法,其中針對該網路符記的該請求是顯式的。
- 根據請求項14之方法,其中就在該閘道設備處獲得下列項目之後,針對該網路符記的該請求被隱式地辨識:一封包資料網路(PDN)連接請求,一專用承載啟動請求,或者一承載修改請求。
- 根據請求項14之方法,其中對該網路符記的推導是基於特定於該客戶端設備所連接的一存取節點的一秘密金鑰,該方法亦包括以下步驟:將該秘密金鑰發送至該存取節點。
- 根據請求項14之方法,亦包括以下步驟:在該閘道設備處,獲得包括該網路符記的一第一封包;及在不使用封包檢查的情況下,使用與該第一封包所包括的該網路符記相關聯的資料,來在該客戶端設備和該應用服務之間引導該第一封包。
- 根據請求項14之方法,亦包括以下步驟:在該閘道設備處,獲得包括該網路符記的一第一封包;使用該閘道設備已知的一金鑰,來對該網路符記進行驗證;若該驗證是不成功的,則丟棄包括該網路符記的該第一封包;及若該驗證是成功的,則在不使用封包檢查的情況下,使用該第一封包所包括的該網路符記,來在該客戶端設備和該應用服務之間引導該第一封包。
- 根據請求項20之方法,其中對該網路符記進行驗證之步驟包括以下步驟:從具有包括下列項目的輸入參數的一集合的一函數,來推導一驗證網路符記:該閘道設備已知的該金鑰;及一網路符記參數索引、源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或一服務品質類別辨識符(QCI);及將該網路符記與該驗證網路符記進行比較。
- 根據請求項21之方法,其中該網路符記參數索引、源網際網路協定(IP)位址、源埠號、目的IP位址、目的埠號、協定辨識符(ID)、應用ID、優先順序及/或服務品質類別辨識符(QCI)是從該封包獲得的。
- 根據請求項21之方法,亦包括以下步驟:在對該網路符記進行驗證之前,辨識一網路符記參數索引,其中該網路符記參數索引規定一輸入參數清單;及從具有作為輸入的該閘道設備已知的該金鑰和該輸入參數清單的函數,來推導一驗證網路符記。
- 根據請求項23之方法,其中該網路符記參數索引亦規定一應用辨識符(ID)。
- 根據請求項23之方法,其中將該輸入參數清單儲存在該閘道設備的一表格中。
- 根據請求項23之方法,其中該網路符記是用與一IP標頭分離的一仲介標頭來攜帶的。
- 根據請求項23之方法,其中該網路符記是用一通用封包式無線電服務(GPRS)隧道協定(GTP)標頭來攜帶的。
- 根據請求項23之方法,其中該網路符記是用在網際網路協定(IP)版本6(IPv6)中所規定的一IP擴展標頭來攜帶的。
- 一種閘道設備,包括:一網路介面;及一處理電路,其耦合於該網路介面,該處理電路經配置為:在與和一客戶端設備相關聯的資料連接建立、啟動或修改相關聯的控制平面訊號傳遞期間,獲得針對一網路符記的一請求,該網路符記是基於中繼資料來推導的;根據一存取策略來獲得該網路符記,該網路符記與一流和一應用服務相關聯;及在該控制平面訊號傳遞期間,經由該控制平面訊號傳遞來將該網路符記發送至該客戶端設備或發送至與該客戶端設備相關聯的一存取節點;其中將該網路符記推導為一上行鏈路網路符記和與該上行鏈路網路符記不同的一下行鏈路網路符記,對該上行鏈路網路符記的推導是基於該閘道設備已知的一金鑰並且基於與該客戶端設備相關聯的一參數,以及對該下行鏈路網路符記的推導是基於該閘道設備已知的該金鑰並且基於與一應用伺服器相關聯的一參數,該處理電路亦經配置為:將該上行鏈路網路符記和該下行鏈路網路符記發送至該客戶端設備。
- 根據請求項29之閘道設備,其中該處理電路亦經配置為:使用該網路符記,來經由該閘道設備而在一網路上進行傳輸期間而在該客戶端設備和該應用服務之間引導封包。
- 根據請求項29之閘道設備,其中該處理電路亦經配置為:在不使用封包偵測的情況下,使用一第一封包所包括的該網路符記,來在該客戶端設備和該應用服務之間引導該第一封包。
- 根據請求項29之閘道設備,其中該處理電路藉由推導該網路符記來獲得該網路符記,並且該處理電路亦經配置為:基於特定於該客戶端設備所連接的一存取節點的一秘密金鑰,來推導該網路符記;及將該秘密金鑰發送至該存取節點。
- 根據請求項29之閘道設備,其中該處理電路藉由推導該網路符記來獲得該網路符記,並且該處理電路亦經配置為:將該網路符記推導為一上行鏈路網路符記和與該上行鏈路網路符記不同的一下行鏈路網路符記,其中:該上行鏈路網路符記是基於該閘道設備已知的一金鑰並且基於與該客戶端設備相關聯的一參數,以及該下行鏈路網路符記是基於該閘道設備已知的該金鑰並且基於與一應用伺服器相關聯的一參數;及將該上行鏈路網路符記和該下行鏈路網路符記發送至該客戶端設備。
- 一種在一存取節點處操作的方法,包括以下步驟:在該存取節點處,在控制平面訊號傳遞期間獲得一網路符記,其中該網路符記是:基於中繼資料來推導的;與一或多個流的一集合中的一第一流相關聯的;與一或多個應用中的一第一應用相關聯的;及經由該控制平面訊號傳遞所提供給該存取節點的;其中將該網路符記推導為一上行鏈路網路符記和與該上行鏈路網路符記不同的一下行鏈路網路符記,對該上行鏈路網路符記的推導是基於該閘道設備已知的一金鑰並且基於與該客戶端設備相關聯的一參數,以及對該下行鏈路網路符記的推導是基於該閘道設備已知的該金鑰並且基於與一應用伺服器相關聯的一參數。
- 根據請求項34之方法,亦包括以下步驟:利用與該第一流相關聯的一封包,來從該存取節點發送該網路符記。
- 根據請求項34之方法,亦包括以下步驟:利用與該第一流相關聯的每一個封包,來從該存取節點發送該網路符記。
- 根據請求項34之方法,其中該網路符記是與和該一或多個應用相關聯的一或多個流的該集合相關聯的。
- 一種在一存取節點處操作的方法,包括以下步驟:用控制平面訊號傳遞,來從一閘道設備獲得特定於該存取節點的一秘密金鑰;用使用者平面訊號傳遞,在該存取節點處從一客戶端設備獲得一封包,該封包包括一網路符記,該網路符記是基於中繼資料來推導的;使用從該閘道設備所獲得的特定於該存取節點的一秘密金鑰,來對該網路符記進行驗證;及若該網路符記是經驗證的,則將該封包和該網路符記發送至該閘道設備,或者若該網路符記是未經驗證的,則丟棄該封包和該網路符記;其中該網路符記用於實施與一應用服務相關聯的一存取策略,以及特定於該存取節點的該秘密金鑰用於在將在該存取節點處所接收的封包發送至該閘道設備之前,對在該等封包中所包括的該網路符記進行確認,以防止未經授權的封包到達該閘道設備。
- 根據請求項38之方法,其中該網路符記是用一通用封包式無線電服務(GPRS)隧道協定(GTP)標頭來攜帶到該閘道設備的。
- 根據請求項38之方法,其中該網路符記是從一封包資料彙聚協定(PDCP)標頭複製到一通用封包式無線電服務隧道協定標頭(GTP標頭),並且用該GTP標頭來攜帶到該閘道設備。
- 一種存取節點,包括:一網路介面;及一處理電路,其耦合於該網路介面,該處理電路經配置為:用控制平面訊號傳遞,來從一閘道設備獲得特定於該存取節點的一秘密金鑰;用使用者平面訊號傳遞,來從一客戶端設備而在該存取節點處獲得一封包,該封包包括一網路符記,該網路符記是基於中繼資料來推導的;使用從一閘道設備所獲得的特定於該存取節點的一秘密金鑰,來對該網路符記進行驗證;及若該網路符記是經驗證的,則將該封包和該網路符記發送至一閘道設備,或者若該網路符記是未經驗證的,則丟棄該封包和該網路符記,其中該網路符記用於實施與一應用服務相關聯的一存取策略,以及特定於該存取節點的該秘密金鑰用於在將在該存取節點處所接收的封包發送至該閘道設備之前,對在該等封包中所包括的該網路符記進行確認,以防止未經授權的封包到達該閘道設備。
- 一種在一閘道設備處操作的方法,包括以下步驟:在該閘道設備處,從一應用伺服器獲得一封包,其中該封包包括一下行鏈路網路符記,該下行鏈路網路符記是基於中繼資料來推導的;使用該閘道設備已知的一金鑰,來對該下行鏈路網路符記進行驗證;若該驗證是不成功的,則丟棄該封包;及若該驗證是成功的,則丟棄該下行鏈路網路符記,並且基於由該下行鏈路網路符記所表示的參數,來將該封包發送至一客戶端設備,其中該下行鏈路網路符記用於實施與一應用服務相關聯的一存取策略。
- 根據請求項42之方法,其中該封包是一網際網路協定(IP)資料封包。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562120135P | 2015-02-24 | 2015-02-24 | |
US62/120,135 | 2015-02-24 | ||
US14/832,965 | 2015-08-21 | ||
US14/832,965 US9819596B2 (en) | 2015-02-24 | 2015-08-21 | Efficient policy enforcement using network tokens for services C-plane approach |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201644236A TW201644236A (zh) | 2016-12-16 |
TWI625951B true TWI625951B (zh) | 2018-06-01 |
Family
ID=56690619
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105104337A TWI625951B (zh) | 2015-02-24 | 2016-02-15 | 使用用於服務c平面方法的網路符記的高效策略實施 |
Country Status (8)
Country | Link |
---|---|
US (1) | US9819596B2 (zh) |
EP (1) | EP3262813B1 (zh) |
JP (1) | JP6438593B2 (zh) |
KR (1) | KR101846155B1 (zh) |
CN (1) | CN107251522B (zh) |
BR (1) | BR112017018018B1 (zh) |
TW (1) | TWI625951B (zh) |
WO (1) | WO2016175909A2 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171463B1 (en) * | 2015-12-21 | 2019-01-01 | Amazon Technologies, Inc. | Secure transport layer authentication of network traffic |
EP3378249B1 (en) * | 2016-01-27 | 2021-08-04 | Samsung Electronics Co., Ltd. | Method and apparatus for reducing signaling overhead and reducing battery of terminal |
WO2018108261A1 (en) * | 2016-12-14 | 2018-06-21 | Nokia Technologies Oy | Handover in communications network |
US10395036B2 (en) * | 2017-03-16 | 2019-08-27 | Dell Products, L.P. | Continued runtime authentication of information handling system (IHS) applications |
US10231250B2 (en) | 2017-03-20 | 2019-03-12 | Qualcomm Incorporated | Policy communication via control plane signaling |
US10700959B2 (en) | 2017-04-09 | 2020-06-30 | Barefoot Networks, Inc. | Source routing design with simplified forwarding elements |
CA3060436C (en) * | 2017-05-09 | 2023-08-01 | Network Next, Inc. | Methods of bidirectional packet exchange over nodal pathways |
CN110392998B (zh) * | 2017-05-09 | 2020-11-27 | 华为技术有限公司 | 一种数据包校验方法及设备 |
US10757105B2 (en) * | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
US10701587B2 (en) * | 2017-10-15 | 2020-06-30 | Qualcomm Incorporated | Policy provisioning at a user equipment (UE) |
EP3753276B1 (en) * | 2018-02-15 | 2023-04-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for improving data transmission security |
FI3777047T3 (fi) * | 2018-03-30 | 2023-01-13 | Järjestelmä ja menetelmä resurssien hallintaan ja resurssien allokointiin heterogeenisten prosessointisolmujen itseoptimoivassa verkossa | |
CN108848037B (zh) * | 2018-05-31 | 2023-06-20 | 平安医疗科技有限公司 | 业务请求处理方法、装置、计算机设备和存储介质 |
US20220060901A1 (en) * | 2019-01-11 | 2022-02-24 | Nec Corporation | Source base station, ue, method in wireless communication system |
US20200304403A1 (en) * | 2019-03-20 | 2020-09-24 | Network Next, Inc. | Network route optimization using excess private network capacity |
WO2020216445A1 (en) * | 2019-04-25 | 2020-10-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Trusted solutions for enabling user equipment belonging to a home network to access data communication services in a visited network |
CN110149211B (zh) * | 2019-05-15 | 2023-04-07 | 杭州朗和科技有限公司 | 服务鉴权方法、服务鉴权装置、介质以及电子设备 |
CN110392061A (zh) * | 2019-08-06 | 2019-10-29 | 郑州信大捷安信息技术股份有限公司 | 一种网络接入控制系统及方法 |
CN114040398A (zh) * | 2020-07-21 | 2022-02-11 | 中国电信股份有限公司 | 服务质量保障提供方法、系统、网络设备和存储介质 |
CN113542150B (zh) * | 2021-07-14 | 2023-06-02 | 杭州海康威视数字技术股份有限公司 | 一种数据传输方法、装置及中心端网桥 |
CN113691596B (zh) * | 2021-08-12 | 2023-06-30 | 北京奇艺世纪科技有限公司 | 一种网关控制方法、装置、电子设备及存储介质 |
KR102463051B1 (ko) * | 2021-11-23 | 2022-11-03 | 펜타시큐리티시스템 주식회사 | 선박 네트워크 접근제어 방법 및 장치 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100189114A1 (en) * | 2009-01-27 | 2010-07-29 | Hitachi, Ltd. | Network communication node |
US20110171953A1 (en) * | 2010-01-11 | 2011-07-14 | Research In Motion Limited | System and method for enabling discovery of local service availability in local cellular coverage |
WO2013010567A1 (en) * | 2011-07-15 | 2013-01-24 | Telefonaktiebolaget L M Ericsson (Publ) | Policy tokens in communication networks |
TW201345217A (zh) * | 2012-01-20 | 2013-11-01 | Interdigital Patent Holdings | 具區域功能性身份管理 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1240200C (zh) * | 2000-11-06 | 2006-02-01 | 艾利森电话股份有限公司 | 用于为多媒体会话中提供的业务协调计费的方法和设备 |
US7916700B2 (en) | 2004-06-30 | 2011-03-29 | Nokia Corporation | Dynamic service information for the access network |
JP5239341B2 (ja) * | 2008-01-08 | 2013-07-17 | 日本電気株式会社 | ゲートウェイ、中継方法及びプログラム |
US9106541B2 (en) | 2008-12-10 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Token-based correlation of control sessions for policy and charging control of a data session through a NAT |
US9137833B2 (en) * | 2009-03-27 | 2015-09-15 | Sharp Kabushiki Kaisha | Mobile communication system |
KR101528496B1 (ko) * | 2009-04-17 | 2015-06-15 | 삼성전자주식회사 | 이동 통신 시스템에서 비계층 프로토콜을 이용하여 응급 콜 서비스를 지원하는 방법 및 시스템 |
US8547931B2 (en) * | 2009-05-21 | 2013-10-01 | Microsoft Corporation | Conserving call logic during handoff |
US20120020818A1 (en) | 2010-07-20 | 2012-01-26 | Peter Chen | Air compressor structure for paint spraying |
JP2012044344A (ja) * | 2010-08-17 | 2012-03-01 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置およびipトンネル選択方法 |
US8989702B2 (en) | 2011-01-28 | 2015-03-24 | Samsung Electronics Co., Ltd. | Device and method for controlling charging in a mobile communication system |
KR101673622B1 (ko) | 2011-01-28 | 2016-11-08 | 삼성전자주식회사 | 무선통신 시스템에서 서비스품질에 따른 서비스 제공 방법 및 장치 |
KR102198740B1 (ko) * | 2011-07-01 | 2021-01-06 | 인터디지탈 패튼 홀딩스, 인크 | 로컬 ip 액세스 - lipa - 모빌리티를 지원하기 위한 방법 및 장치 |
WO2013017176A1 (en) | 2011-08-04 | 2013-02-07 | Telefonaktiebolaget L M Ericsson (Publ) | Providing content related quality of service in packet switched communication network |
KR101929299B1 (ko) * | 2011-12-06 | 2019-03-13 | 삼성전자주식회사 | 이동통신 네트워크에서 요금 지불을 대행하는 인터넷 서비스 제공 방법 및 장치 |
CN104185973B (zh) * | 2012-01-20 | 2017-09-22 | 三星电子株式会社 | 用于设定数据发送的优先级的方法和设备 |
CN104662884B (zh) * | 2012-09-20 | 2017-07-14 | 日本电气株式会社 | 通信网络中的计费控制方法和系统 |
US20150264739A1 (en) * | 2012-10-08 | 2015-09-17 | Nokia Solutions And Networks Oy | Methods, devices, and computer program products for keeping devices attached without a default bearer |
WO2014156769A1 (ja) * | 2013-03-26 | 2014-10-02 | シャープ株式会社 | 端末装置、基地局装置および制御装置 |
US10111060B2 (en) * | 2013-06-12 | 2018-10-23 | Cisco Tecnology, Inc. | Client app service on mobile network |
EP3014806B1 (en) | 2013-06-27 | 2019-11-27 | Orange | Providing toll-free application data access |
US10547651B2 (en) | 2013-07-26 | 2020-01-28 | Apple Inc. | System and method for providing telephony services over WiFi for non-cellular devices |
US9537659B2 (en) | 2013-08-30 | 2017-01-03 | Verizon Patent And Licensing Inc. | Authenticating a user device to access services based on a device ID |
WO2015105183A1 (ja) * | 2014-01-10 | 2015-07-16 | シャープ株式会社 | 通信制御方法、位置管理装置、基地局装置、端末装置および通信システム |
GB201402308D0 (en) * | 2014-02-11 | 2014-03-26 | Nec Corp | Communication system |
JP6386565B2 (ja) * | 2014-03-03 | 2018-09-05 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 無線アクセスネットワーク間のアクセスステアリングを向上させるための方法および装置 |
US9980310B2 (en) * | 2014-10-17 | 2018-05-22 | Mediatek Inc. | Method for processing unsuccessful PDN establishment request |
-
2015
- 2015-08-21 US US14/832,965 patent/US9819596B2/en active Active
-
2016
- 2016-02-15 TW TW105104337A patent/TWI625951B/zh active
- 2016-02-16 WO PCT/US2016/018104 patent/WO2016175909A2/en active Application Filing
- 2016-02-16 BR BR112017018018-9A patent/BR112017018018B1/pt active IP Right Grant
- 2016-02-16 JP JP2017544301A patent/JP6438593B2/ja active Active
- 2016-02-16 EP EP16753730.7A patent/EP3262813B1/en active Active
- 2016-02-16 KR KR1020177023277A patent/KR101846155B1/ko active IP Right Grant
- 2016-02-16 CN CN201680011578.4A patent/CN107251522B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100189114A1 (en) * | 2009-01-27 | 2010-07-29 | Hitachi, Ltd. | Network communication node |
US20110171953A1 (en) * | 2010-01-11 | 2011-07-14 | Research In Motion Limited | System and method for enabling discovery of local service availability in local cellular coverage |
WO2013010567A1 (en) * | 2011-07-15 | 2013-01-24 | Telefonaktiebolaget L M Ericsson (Publ) | Policy tokens in communication networks |
TW201345217A (zh) * | 2012-01-20 | 2013-11-01 | Interdigital Patent Holdings | 具區域功能性身份管理 |
Also Published As
Publication number | Publication date |
---|---|
US9819596B2 (en) | 2017-11-14 |
BR112017018018A2 (pt) | 2018-04-10 |
EP3262813B1 (en) | 2020-06-03 |
JP6438593B2 (ja) | 2018-12-19 |
TW201644236A (zh) | 2016-12-16 |
WO2016175909A3 (en) | 2017-02-09 |
US20160248686A1 (en) | 2016-08-25 |
JP2018509090A (ja) | 2018-03-29 |
KR20170118752A (ko) | 2017-10-25 |
KR101846155B1 (ko) | 2018-04-06 |
WO2016175909A9 (en) | 2017-08-17 |
CN107251522B (zh) | 2018-09-28 |
CN107251522A (zh) | 2017-10-13 |
WO2016175909A2 (en) | 2016-11-03 |
BR112017018018B1 (pt) | 2024-01-16 |
EP3262813A2 (en) | 2018-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI625951B (zh) | 使用用於服務c平面方法的網路符記的高效策略實施 | |
US11570622B2 (en) | Efficient policy enforcement using network tokens for services—user-plane approach | |
US11290382B2 (en) | Efficient policy enforcement for downlink traffic using network access tokens—control-plane approach | |
JP7495396B2 (ja) | Nasメッセージのセキュリティ保護のためのシステム及び方法 | |
US9882894B2 (en) | Secure authentication service | |
WO2019017837A1 (zh) | 网络安全管理的方法及装置 | |
CN111226452B (zh) | 一种业务策略创建方法及装置 | |
RU2772709C1 (ru) | Системы и способ защиты безопасности сообщений nas |