应用)的递送顺序的信息;和/用于TTP的允许卸载方向;
一卸载配置和应用包或其一部分上的密码证书,诸如应用包所包含的一个或所有二进制映像;
一可借助于单独声明(manifest)文件来实现证书。(在某些实施例中这可由证明者添加);
一声明文件,其是整个卸载配置和虚拟机包或其一部分两者的密码哈希值/摘要的集合,如上所述。在某些实施例中可由证明者用密码算法等来证明此声明文件。在某些实施例中,这是用于软件完整性保护或安全的;
一每个TTP可包含可选地指示可修改性质的列表。当计算声明中的密码哈希值/摘要时排除配置的这些性质。例如,如果将卸载配置呈现为XML结构,则可获得XML结构的临时拷贝,并且可去除可修改性质,并且只有那时才确定XML结构上的密码哈希值/摘要;
一到TTP与卸载服务之间的连接的物理实现的链接。卸载服务可以是软件模块或路由器。例如,这可提供虚拟网络名称、VLAN (虚拟局域)标签或实现朝向应用的TTP连接的平台所使用的其他标识。
[0098]在一个示例中,分组过滤器规则可包括用于L3报头(IPv4或IPv6)和/或L4报头(TCP (传输控制协议)、UDP (用户数据报协议)、SCTP (流控制传输协议)等)中的字段值的一组5元组匹配过滤器。该匹配过滤器可替代地或另外包含具有位掩码、范围等的值。可对5元组匹配过滤器内的当前值应用布尔函数,诸如AND运算。可在过滤器规则集内的不同的5元组匹配过滤器之间应用布尔算子OR。可在被转发至TTP的分组的选择中和/或当应用通过TTP来发送数据时应用过滤器。
[0099]终止应用可例如定义用于IP目的地地址和/或L4协议和/或到针对该应用要卸载的快速业务的端口的规则。相应地,另一穿过类型的应用可例如定义仅L4协议和希望卸载应用的一组端口。
[0100]过滤使用用以检查是否要将包卸载的准则。应认识到的是包过滤器规则的上述示例仅仅是可使用的包过滤器规则的两个示例。替代地或另外,可使用任何其他方法来确定是否要卸载包。
[0101]环境特定TTP接口和/或网络选项的定义在例如终止或穿过情况下可包括诸如预期协议层和/或应用的行为模型之类的信息。作为示例,应用可指示其是穿过类型的,并且将充当透明L2桥接器。
[0102]卸载方向可包括以下选项中的一个或多个:向终端发送、从终端接收、向网络发送、从网络接收。作为示例,穿过类型的应用正常地将定义所需的所有四个卸载方向。
[0103]定义TTP之间的排序。这可针对上行链路卸载路由器(稍后讨论)和下行链路卸载路由器(稍后讨论)两者单独地完成。可将TTP定义为是一个或每个方向上的TTP卸载链的第一个或最后一个或在中间。例如,字节高速缓存应用一其为穿过类型一可去除应用的两个实例之间的端到端包的净荷,所述两个实例中的一个位于(e) UTRAN中的应用服务器中,并且另一个位于移动分组核心网络中。现在,应用需要将其TTP定义为是上行链路卸载链中的最后一个以及下行链路卸载链中的第一个,以便在任何其他应用之后去除上行链路分组的净荷;并且在任何其他应用之前恢复下行链路分组的净荷。用于具有专用域名或IP地址的终止应用的TTP可按照任何顺序驻留于上行链路和/或下行链路卸载链的中间;因此具有用于两个方向的中间位置。可使用具有超过三个位置(或者甚至两个位置)的更细粒列举,以允许更详细的排序。
[0104]当计算哈希值/摘要时可省略被列为可修改的性质,允许运营商或管理员改变值中的某些。
[0105]可在应用包412中提供此卸载配置,或者可替代地在单独包中提供此卸载配置。
[0106]应用包格式可以是任何应用包格式。
[0107]可以机器可读格式来提供应用卸载配置。可将该应用卸载配置与应用包集成或为该应用卸载配置提供应用包。在某些实施例中,在应用的部署期间应用该布置时这可以使能在没有人类交互的情况下使能自动化。这可例如在虚拟化应用环境中。
[0108]现在将描述证明者408。
[0109]证明者可以是例如可以由任何适当提供商提供的系统供应商或运营商。证明可手动地完成和/或可以由例如一个或多个适当的已编程设备执行。证明者408确认应用卸载配置。该证明者还可测试或确认应用的功能和/或性能。然而,这在某些实施例中是可选的。证明者还可证明应用卸载配置。证明者408可检查包括其声明的应用卸载配置的有效性,并且可以用私有秘钥来创建声明。具有其已证明卸载配置的应用可被公布,可用于安装。
[0110]在某些实施例的情况下,应用卸载配置是可信的。通过具有可信应用卸载配置,这可允许有对安全和隐私问题敏感的网络(诸如移动网络)中的虚拟化环境中的应用的自动化配置的可能性。虚拟环境可以是云样式虚拟化卸载环境。完整应用卸载配置是可信的,并且通过使用任何适当的密码方法来证明配置文件而使得其不可修改,配置文件至少包括应用卸载配置和可选的应用包格式的标准配置部分。
[0111]在实施例中,可以创建可信配置与该配置被发布到的原始应用版本之间的可信一对一关系。这避免了改变或修改应用或将配置重用于另一应用的可能性。这可以任何适当方式来实现,并且例如可通过以声明的形式在应用包中包括部件的一部分或全部的摘要(单向散列函数或其他适当函数)来实现。这可替代地或另外通过要求通过在部署或开始应用之前计算系统中的相应应用部件上的摘要并与声明中的相应的一些匹配来验证用于应用卸载配置所包含的声明中的应用部件的所有摘要而实现。
[0112]在实施例中,证明者可以可选地通过在计算卸载配置的摘要时将诸如IP地址的应用卸载配置的所选性质排除来将其留在证明之外。这些所选性质因此可被管理员等修改。可将从摘要的计算中排除且因此可修改的性质的列表提供给管理员。可在摘要的计算中包括当前且可修改性质的列表(而不是性质的值)。
[0113]通过提供已证明且可信的卸载配置,可在其中安全和/或信任可能是问题的环境中实现自动化配置。此类环境可以是例如移动网络。已证明且可信的配置可消除由网络管理员进行的不受控的故意配置的可能性。这是因为卸载配置中的至少某些不能改变。此外,两者都不能是与卸载配置相关联的应用或其一部分。
[0114]证明者的使用可能意味着可以提供应用的配置和应用本身的独立的一次性证明。可在不需要用于应用的相同版本的应用卸载配置的重新证明的情况下在稍后用独立证书来证明应用包,如果该应用包具有其自己的证书和声明的话,例如由OVF提供。
[0115]某些实施例可通过留下由网络管理员等可修改的应用卸载配置定义的配置部分来支持运营商特定配置。
[0116]在某些实施例中,可提供灵活的证明过程。如先前所述,应用开发者可仅仅将应用卸载配置和可选地应用部件的摘要发送到证明者,该证明者在其被证明的情况下将其发送回来。替代地,证明者另外可测试和/或验证应用本身。
[0117]通过使用证明,可以实现如下操作情况,其中一方或网络运营商想要或不得不具有对能够在卸载平台上运行的已证明应用的控制。这可以例如保证仅仅为了控制的原因而安装已测试和/或已验证应用。
[0118]现在将更详细地描述应用策略406。
[0119]网络策略可定义应用的一般运营商/网络特定性质且可以是由网络管理员可修改的。该应用策略可包括一组可配置性质。这些可定义用于应用的操作特定策略。
[0120]该应用策略可包含以下各项中的一个或多个:
一应用身份信息,诸如应用供应商信息、应用名信息、版本信息和/或可以如在卸载配置中定义的;
一在网络卸载的情况下,策略可定义关于哪些PDP上下文和/或PDN连接有权访问特定TTP的规则。例如,这可通过定义诸如业务类别、其他RAB (无线电访问承载)参数等一个或多个承载参数来实现。另外或替代地,这可通过例如定义订户标识信息来实现。例如,可定义頂SI (国际移动用户身份)、MCC (移动云计算)和/或MNC (移动网络代码)的范围。替代地或另外,标识可能从其查询每个订户应用策略的策略服务器的信息。在某些实施例中,此后一种选项可以是定义订户信息的替代;
一出于恢复目的的应用的临界性;
一出于超载保护目的的应用和其TTP中的每个的优先级;
一用于穿过每个TTP的业务流的计费特性;
一是否存在对用于穿过每个TTP的业务的合法拦截的需要;
一策略上的声明以及用于声明的运营商证书。这可允许运营商处的可信任的人和/或设备一次将策略配置成被应用于应用版本。
[0121]实施例可提供机器可读应用策略。这可定义用于应用及其TTP的运营商和/或网络特定性质。这是除已证明卸载配置之外的。此策略可使能每个PDP上下文类型的静态策略的定义。这可基于哪个TTP针对匹配PDP上下文被使能的RAB参数。该策略可使能每个订户群组的简单静态应用TTP策略的定义。这可基于IMSI信息和/或网络代码。替代地或另外,某些实施例可允许基于策略服务器的每个订户应用策略的定义。
[0122]某些实施例可允许创建可信且自动化的应用策略。这可通过将声明和运营商签署证书(由证明者提供)插入应用策略中来实现。可在应用的部署和/或开始时间处检查此证书。可通过参考可信应用卸载配置中的唯一应用身份来将可信策略关联到应用的特定版本。
[0123]应用策略配置在自动化应用部署中可以是自动化的。在某些实施例中,这可由被供应到目标应用环境的应用的机器可读策略来促进。可证明可信策略配置。此证明可由运营商完成。
[0124]在某些实施例中,创建策略的权限可局限于网络运营商处的可信设备或个人。
[0125]在某些实施例中,可由运营商证书来保护用于每个应用TTP的计费和/或合法拦截性质的自动化和可信配置的使能。
[0126]在某些实施例中,可提供用于应用的可信、自动化运营商特定策略的创建。这可以按照TTP应用。这可提供超载情况期间的应用的优先级、失败情形中的应用的临界性、计费准则和/或拦截准则。
[0127]在某些实施例中,可将运营商特定应用策略配置与更加全局适用的卸载配置的其余部分分尚。
[0128]可将应用策略提供给应用管理代理或应用管理器402。应用管理器可以是Iaas/虚拟化基础设施的本地代理。
[0129]可以任何适当方式来实现应用策略且其可例如是XML文件。
[0130]在某些实施例中,网络的运营商或管理员可配置应用策略。运营商或管理员可部署新的应用并用应用管理器来管理新的应用。
[0131]现在将描述应用管理器。
[0132]可将应用管理器402配置成将应用策略与应用一起传递至应用服务器400的应用管理代理420。在某些实施例中,可将应用策略的仅一部分提供给应用管理代理420。在其他实施例中,可将所有应用策略提供给应用管理代理420。
[0133]现在将描述应用服务器。
[0134]对图3进行参考,其示出了应用环境303的框图。更详细地,此应用服务器可以是图2和4的应用服务器。
[0135]RAN 302提供PDP上下文/无线电访问承载304和306。为了简单起见,未描述PDP上下文/RAB 304的处理。此图仅示出了用于PDP上下文/RAB 306的分组流。PDP上下文或PDN连接被卸载路由器块30